Facebook ignorerait une faille de sécurité dans ses API

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 07 octobre 2011 à 16h53
008C000003621504-photo-logo-facebook.jpg
Certains spécialistes de la sécurité auraient découvert une faille au sein des restrictions embarquées aux interfaces de programmation de Facebook.

Les applications développées pour le réseau Facebook se basent sur le langage de requête FQL. Développé par Facebook, ce dernier permet d'extraire les informations des utilisateurs du service. Si le développeur souhaite que son application puisse accéder aux données personnelles, il doit obtenir une clé pour l'usage des interfaces de programmation mises à disposition par Facebook, c'est-à-dire un identifiant unique pour gérer les droits de son application.

il semblerait cependant qu'à l'obtention de cette clé, les développeurs puissent avoir des privilèges très élevés, lesquels ne sont finalement restreints que par Facebook lorsque le développeur soumet son application. Le magazine InfoWorld rapporte les propos de deux chercheurs surnommés hatter et ErrProne. Selon ces derniers, le développeur n'aurait d'ailleurs même pas besoin d'obtenir une clé mais pourrait simplement utiliser la clé d'une application existante en ajoutant celle-ci à son profil. Cette technique permettrait de récupérer les informations des utilisateurs ayant installé l'application même si ces derniers ont préalablement choisi de ne partager les données qu'avec ses contacts.

Interrogé par InfoWorld, un porte-parole de Facebook explique : « lorsque l'on nous remonte une application malveillante ou lorsque celle-ci est détectée par notre système, nous réagissons rapidement avant qu'elle ne puisse récupérer des données ». Ces propos ne semblent en tout cas pas convaincre les deux chercheurs. Un hacker malintentionné pourrait en effet restreindre son attaque à un seul utilisateur en spécifiant un identifiant particulier et donc passer complètement inaperçu. Retrouvez davantage de détails techniques sur cette page.

Rappelons qu'au mois de mai l'éditeur Symantec, spécialisé dans la sécurité informatique, rapportait que quelque 100 000 applications n'étaient pas suffisamment sécurisées. Il était précisé que les modules de type IFRAME avaient accidentellement rendu accessibles les clés de sécurité au sein desquelles sont stockées les droits d'accès d'une application au profil d'un membre. Pour certains cette méthode avait permis aux annonceurs de récupérer certaines informations personnelles afin de déployer des campagnes de publicités ciblées.
Guillaume Belfiore
Par Guillaume Belfiore
Rédacteur en chef adjoint

Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles