Facebook corrige une faille trouvée par les Bitdefender Labs
avril 2016
Les Bitdefender Labs ont révélé une vulnérabilité lors de l'authentification en ligne sur des sites Web tiers via Facebook., Un manque de mesure de sécurité lors de la validation permet aux pirates d'usurper l'identité des internautes et d'accéder, sans mot de passe, à leurs comptes en ligne.
Les Bitdefender Labs ont révélé une vulnérabilité lors de l’authentification en ligne sur des sites Web tiers via Facebook., Un manque de mesure de sécurité lors de la validation permet aux pirates d'usurper l'identité des internautes et d'accéder, sans mot de passe, à leurs comptes en ligne.
Les social logins sont une alternative à l'authentification traditionnelle et un mode apprécié par les utilisateurs pour leur côté pratique : ils permettent aux utilisateurs de se connecter à leurs comptes Web sans saisir leur nom d'utilisateur ni leur mot de passe. La plupart des sites offrent des social logins via Facebook, LinkedIn, Twitter ou Google Plus. Les chercheurs des Bitdefender Labs ont trouvé un moyen d’usurper l'identité de l’utilisateur et d'avoir accès à ses comptes Web en utilisant le plug-in Facebook Login.
« Il s’agit d’une vulnérabilité grave qui permet aux pirates de créer un compte avec une adresse e-mail ne leur appartenant pas et de changer l'adresse e-mail liée au compte d'un site par une autre adresse non vérifiée », prévient Ionut Cernica, chercheur spécialiste des vulnérabilités chez Bitdefender.« Cela signifie qu’un pirate peut effectuer des paiements en ligne au nom de l'utilisateur, arrêter son moteur antivirus pour infecter ses périphériques, propager des malwares à ses contacts et bien plus encore. »
Pour que l'attaque réussisse, l'adresse e-mail de la victime ne doit pas déjà être enregistrée sur Facebook. La plupart des internautes ont plus d'une adresse e-mail publiée sur différents sites Web, accessibles à tout le monde. Il est donc assez simple pour le pirate d'obtenir une de ces adresses et de créer un compte Facebook avec cette dernière.
Pour vérifier l'identité d'un utilisateur sans exposer ses identifiants d’authentification, Facebook Login utilise le protocole OAuth. Grâce à OAuth, Facebook est autorisé à partager certaines informations de l'utilisateur avec le site Web tiers.
Comment se fait l'usurpation d'identité ?
Bitdefender a réussi à contourner l'étape de confirmation généralement requise lors de l'enregistrement d'une nouvelle adresse e-mail Facebook.
L’un de ses chercheurs a créé un compte Facebook avec l'adresse e-mail de la victime.
Fig. 1 Le pirate crée un nouveau compte Facebook avec l’adresse e-mail de la victime
Après l’inscription, il a remplacé l'adresse e-mail par une autre dont il a le contrôle.
.jpg)
Fig. 2 Le pirate change l’adresse e-mail de la victime par la sienne
Après actualisation de la page, il apparaît que l'adresse e-mail de la victime a également été validée.
Lorsque le chercheur a tenté de se connecter sur un autre site via le bouton Facebook Login (avec l'adresse e-mail de la victime), il a dû confirmer sa propre adresse e-mail, et non celle de la victime.
.jpg)
Fig. 3 Le pirate est invité à confirmer sa propre adresse e-mail
Bien que le chercheur de Bitdefender n’ait confirmé que son compte personnel dans les paramètres du compte Facebook, l'adresse de la victime était bien le contact principal.
« J’ai utilisé à nouveau Facebook Login et décidé de mettre mon adresse comme contact principal à la place de celle de la victime, puis de la changer à nouveau pour faire du compte de la victime le compte principal. C’est une étape importante pour reproduire le problème », a ajouté Ionut Cernica.
.jpg)
Fig. 4 Le pirate définit l'adresse e-mail de la victime comme contact principal
Puis, sur un autre site Web, le chercheur de Bitdefender a utilisé Facebook Login pour se connecter sous l’identité de la victime. Le site a fait le lien entre l'adresse e-mail de la victime (en passant par Facebook) et le compte existant et a permis au chercheur, qui aurait pu être un pirate, de contrôler ce compte.« Le fournisseur d'identité - dans ce cas, Facebook – aurait dû attendre que la nouvelle adresse e-mail ait bien été vérifiée », affirme Ionut Cernica.
Facebook a réparé la vulnérabilité après en avoir été alerté par les Bitdefender Labs.
À propos de Bitdefender®
Bitdefender est une société internationale de technologies de sécurité qui fournit ses solutions dans plus de 100 pays à travers un réseau d'alliances à valeur ajoutée, de distributeurs et de partenaires revendeurs. Depuis 2001, Bitdefender n’a cessé de développer des technologies de protection maintes fois récompensées et est devenu le plus innovant des fournisseurs de technologies de sécurité pour les environnements virtualisés et Cloud. Grâce à ses investissements en R&D et de nombreux partenariats technologiques, Bitdefender a réhaussé les standards de sécurité les plus élevés de l’industrie en s’appuyant à la fois sur ses technologies classées N°1 et ses alliances stratégiques avec les principaux fournisseurs de technologies de virtualisation et de Cloud dans le monde.
Depuis 2001, Bitdefender confie, pour la France et les pays francophones, l’édition et la commercialisation de ses solutions à la société Profil Technology. Plus d’informations sur www.bitdefender.fr
À propos de Profil Technology®
Profil Technology est une société française indépendante qui développe, édite et commercialise des logiciels pour les particuliers et les entreprises. Créée en 1989, sous le nom d’Editions Profil puis renommée Profil Technology en 2014, elle édite des solutions de sécurité informatique sous ses marques Egedian et Witigo et ré-édite depuis 2001, les solutions antivirus Bitdefender. Pour plus d’informations, visitez le site profiltechnology.com
