Sans tenir compte des nombreux guides destinés aux membres de Facebook au sujet du respect de la confidentialité, la prudence est foulée aux pieds sitôt qu’un nouveau jeu à la mode, une cause à défendre ou quelque autre application Facebook séduisante se présente.
Malheureusement, Symantec a découvert que dans certains cas, par mégarde, des applications IFRAME Facebook ont transmis les jetons d’accès à des tierces parties. Selon l’analyse menée par Symantec relativement au mois dernier, il y a eu près de 100.000 applications permettant cette fuite des autorisations d’accès.
La fuite "jeton d’accès" signifie que les clés contenant les permissions (comme l’accès à votre liste d’amis, poster sur votre mur et voir les informations personnelles autorisées à l’application), ont été fournies aux publicitaires et aux programmes d’analyses statistiques.
Selon le Blog développeurs de Facebook, des mesures sont prises pour migrer les applications Facebook de l’ancien système d’authentification et HTTP vers “OAuth 2.0” (un processus de fourniture d’accès limité aux applications tierce partie et HTTPS).
Recommandations
- modifiez votre mot de passe Facebook car cette mesure réinitialise automatiquement tous les jetons d’accès donnés préalablement
- optez pour la navigation sécurisée (HTTPS) :
- allez à la page de paramétrage, par Compte > Paramètres du compte
- onglet Paramètres > cliquez sur "modifier" en regard de Sécurité du compte
- Navigation sécurisée, cochez "Utiliser une connexion sécurisée (https)…" et cliquez sur le bouton "Enregistrer".
- Developer Roadmap Update: Moving to OAuth 2.0 + HTTPS
- Facebook Applications Accidentally Leaking Access to Third Parties
Un grand merci à Corrine pour l’autorisation de traduire son article “Facebook User Credentials Exposed”.
Gérard Mélone, MS-MVP Consumer Security
Aucun commentaire:
Enregistrer un commentaire