{"id":2984,"date":"2014-05-05T11:49:22","date_gmt":"2014-05-05T11:49:22","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=2984"},"modified":"2021-06-21T11:35:55","modified_gmt":"2021-06-21T09:35:55","slug":"des-vulnerabilites-pour-les-boutons-types-sidentifier-avec-facebook","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/des-vulnerabilites-pour-les-boutons-types-sidentifier-avec-facebook\/2984\/","title":{"rendered":"Des vuln\u00e9rabilit\u00e9s pour les boutons types &laquo;&nbsp;S&rsquo;identifier avec Facebook&nbsp;&raquo;&#8230;"},"content":{"rendered":"<p>Quelques semaines seulement apr\u00e8s la d\u00e9couverte du bug <a href=\"https:\/\/www.kaspersky.fr\/blog\/les-lecons-a-tirer-de-heartbleed\/\" target=\"_blank\" rel=\"noopener\">Heartbleed<\/a>, les utilisateurs moyens comme vous et moi pourraient s\u2019inqui\u00e9ter d\u2019un autre probl\u00e8me tr\u00e8s r\u00e9pandu qui ne sera pas facile \u00e0 r\u00e9parer. Il s\u2019agit du bug \u00ab\u00a0Covert Redirect\u00a0\u00bb r\u00e9cemment r\u00e9v\u00e9l\u00e9 par Wang Jing, un \u00e9tudiant en doctorat de math\u00e9matiques \u00e0 l\u2019universit\u00e9 de technologie de Nanyang \u00e0 Singapour. Le probl\u00e8me a \u00e9t\u00e9 d\u00e9tect\u00e9 au sein des c\u00e9l\u00e8bres protocoles Internet OpenID et OAuth. Le premier est utilis\u00e9 quand vous vous identifiez dans des sites qui utilisent vos profils Google, Facebook, LinkedIn, etc. Le deuxi\u00e8me est utilis\u00e9 quand vous vous autorisez des sites, des applications ou des services avec Facebook\/G+\/etc., sans r\u00e9v\u00e9ler pour autant votre mot de passe \u00e0 ces sites externes. Ces deux protocoles sont utilis\u00e9s ensemble et vous pourriez bien \u00eatre en train de communiquer vos informations aux mauvaises personnes.<\/p>\n<p><b>La menace<\/b><\/p>\n<p>Nos amis de <a href=\"https:\/\/threatpost.com\/critical-holes-in-oauth-openid-could-leak-information-redirect-users\/105876\" target=\"_blank\" rel=\"noopener nofollow\">Threatpost<\/a> ont une explication du probl\u00e8me plus technique ainsi qu\u2019un lien vers la recherche originale, mais nous vous \u00e9pargnerons les d\u00e9tails inutiles et allons vous d\u00e9crire le possible sc\u00e9nario d\u2019attaque et ces cons\u00e9quences. Premi\u00e8rement, dans le cas o\u00f9 un utilisateur visiterait un <a href=\"https:\/\/www.kaspersky.fr\/blog\/hameconnage-votre-guide-officiel-pour-debutants\/\" target=\"_blank\" rel=\"noopener\">site d\u2019hame\u00e7onnage<\/a> qui utilise le bouton \u00ab\u00a0S\u2019identifier avec Facebook\u00a0\u00bb. Un site peut ressembler de pr\u00eat \u00e0 un service populaire ou se faire passer pour un tout nouveau service. Ensuite, une vraie fen\u00eatre Facebook\/G+\/LinkedIn s\u2019ouvrira, demandant \u00e0 l\u2019utilisateur de rentrer son nom d\u2019utilisateur et son mot de passe afin d\u2019autoriser le service \u00e0 acc\u00e9der au profil de l\u2019utilisateur. Enfin, l\u2019autorisation d\u2019utiliser le profil est envoy\u00e9e au mauvais site (d\u2019hame\u00e7onnage) en utilisant une redirection incorrecte.<\/p>\n<div class=\"pullquote\">Une vraie fen\u00eatre Facebook\/G+\/LinkedIn s\u2019ouvrira, demandant \u00e0 l\u2019utilisateur de rentrer son nom d\u2019utilisateur et son mot de passe afin d\u2019autoriser le service \u00e0 acc\u00e9der au profil de l\u2019utilisateur.<\/div>\n<p>En fin de compte, un cybercriminel re\u00e7oit l\u2019autorisation d\u2019acc\u00e9der au profil de la victime (jeton OAuth) avec toutes les permissions que les applications ont en g\u00e9n\u00e9ral, et dans le pire des cas, avec l\u2019habilit\u00e9 d\u2019acc\u00e9der aux contacts de l\u2019utilisateur, d\u2019envoyer des messages, etc.<\/p>\n<p><b>Est-ce r\u00e9par\u00e9 ? Pas vraiment. <\/b><\/p>\n<p>Cette menace ne dispara\u00eetra pas de si t\u00f4t, car la r\u00e9paration devra \u00eatre aussi bien r\u00e9alis\u00e9e du c\u00f4t\u00e9 du fournisseur (Facebook, LinkedIn, Google, etc.) que du c\u00f4t\u00e9 du client (le service ou l\u2019application externe). Le protocole OAuth est toujours en version Beta et plusieurs fournisseurs utilisent diff\u00e9rentes mises en place qui varient selon leur habilit\u00e9 de contre-attaquer l\u2019attaque mentionn\u00e9e pr\u00e9c\u00e9demment. LinkedIn est mieux positionn\u00e9 pour mettre en place la r\u00e9paration et g\u00e8re les choses de mani\u00e8re plus stricte en <a href=\"https:\/\/developer.linkedin.com\/blog\/register-your-oauth-2-redirect-urls\" target=\"_blank\" rel=\"noopener nofollow\">exigeant<\/a> que le d\u00e9veloppeur du service externe fournisse une \u00ab\u00a0liste d\u2019autorisation\u00a0\u00bb des redirections correctes. Pour le moment, chaque application qui utilise une autorisation LinkedIn est soit s\u00e9curis\u00e9e soit non fonctionnelle. Les choses sont diff\u00e9rentes pour Facebook qui dispose malheureusement d\u2019un tr\u00e8s grand nombre d\u2019applications externes et peut-\u00eatre d\u2019une version de OAuth plus ancienne. C\u2019est pourquoi les porte-paroles de Facebook ont inform\u00e9 Jing que la cr\u00e9ation d\u2019une liste d\u2019autorisation\u00a0\u00bb n\u2019est pas quelque chose qui pourra \u00eatre mis en place \u00e0 court terme\u00a0\u00bb.<\/p>\n<p>Il existe de nombreux autres fournisseurs qui semblent \u00eatre vuln\u00e9rables (regardez la photo), donc si vous vous identifiez dans certains sites en utilisant ces services, vous devez prendre des mesures.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2014\/05\/06101221\/OpenID.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-2986\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2014\/05\/06101221\/OpenID.png\" alt=\"OpenID\" width=\"513\" height=\"310\"><\/a><\/p>\n<p><b>Votre plan d\u2019action <\/b><\/p>\n<p>Pour les plus prudents, la solution infaillible serait d\u2019abandonner l\u2019utilisation d\u2019OpenID et ces fameux boutons \u00ab\u00a0S\u2019identifier avec\u2026\u00a0\u00bb pendant quelques mois. Cela vous permettra peut-\u00eatre \u00e9galement de renforcer votre confidentialit\u00e9, car autoriser ces identifications sur des r\u00e9seaux sociaux rend votre activit\u00e9 en ligne plus facile \u00e0 suivre et permet \u00e0 de plus en plus de sites de lire vos donn\u00e9es d\u00e9mographiques de base. Pour \u00e9viter d\u2019avoir \u00e0 m\u00e9moriser diff\u00e9rents identifiants sur tous ces sites, commencez \u00e0 utiliser <a href=\"https:\/\/www.kaspersky.fr\/blog\/?s=mot+de+passe&amp;submit=Search\" target=\"_blank\" rel=\"noopener\">un gestionnaire de mots de passe efficace<\/a>. La plupart des services, de nos jours, sont \u00e9quip\u00e9s de clients multiplateformes et de synchronisation avec le Cloud afin de garantir un acc\u00e8s \u00e0 vos mots de passe sur tous les ordinateurs que vous poss\u00e9dez.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Pour les utilisateurs prudents, la meilleure solution serait d\u2019abandonner ces identifications Facebook\/Google pendant quelques mois. #OpenID #CovertRedirect<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fjo88&amp;text=Pour+les+utilisateurs+prudents%2C+la+meilleure+solution+serait+d%26rsquo%3Babandonner+ces+identifications+Facebook%2FGoogle+pendant+quelques+mois.+%23OpenID+%23CovertRedirect\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>N\u00e9anmoins, si vous avez l\u2019intention de continuer \u00e0 utiliser l\u2019autorisation OpenID, il n\u2019y a pas de danger imm\u00e9diat. Vous devez juste faire attention et \u00e9viter les <a href=\"https:\/\/www.kaspersky.fr\/blog\/reconnaitre-les-faux-sites-web\/\" target=\"_blank\" rel=\"noopener\">arnaques d\u2019hame\u00e7onnage<\/a> qui commencent typiquement par un message \u00e9trange dans votre bo\u00eete de r\u00e9ception ou par un lien provocateur sur Facebook et autres r\u00e9seaux sociaux. Si vous vous authentifiez dans un service utilisant Facebook\/Google\/etc., assurez-vous que vous acc\u00e9dez au site de ce service en tapant l\u2019adresse manuellement ou en utilisant un marque page, et non pas le lien contenu dans vos e-mails ou votre messagerie. V\u00e9rifiez bien la barre d\u2019adresse afin de ne pas vous rendre sur des sites louches et ne souscrivez pas de nouveaux services avec OpenID, sauf si vous \u00eates certain \u00e0 100% que le service est r\u00e9put\u00e9 et qu\u2019il s\u2019agit bien du bon site. De plus, nous vous conseillons d\u2019utiliser une solution de navigation s\u00e9curis\u00e9e telle que <a href=\"https:\/\/www.kaspersky.com\/fr\/multi-device-security\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security \u2013 Multi-Device<\/a> qui emp\u00eachera votre navigateur de visiter des endroits dangereux tels que des sites d\u2019hame\u00e7onnage.<\/p>\n<p>Il s\u2019agit juste de mesures de pr\u00e9caution, que tous les utilisateurs Internet devraient prendre chaque jour, car les menaces d\u2019hame\u00e7onnage sont tr\u00e8s r\u00e9pandues et efficaces et peuvent mener \u00e0 toutes sortes de pertes num\u00e9riques, y compris \u00e0 la perte de num\u00e9ros de carte bancaire, d\u2019identifiants de messagerie, etc. Le bug \u00ab\u00a0Covert Redirect\u00a0\u00bb dans OpenID et OAuth n\u2019est qu\u2019une raison suppl\u00e9mentaire de les suivre, et ce, sans exception.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>OpenID et OAuth sont des protocoles responsables des boutons &laquo;&nbsp;S&rsquo;identifier avec Facebook&nbsp;&raquo; et &laquo;&nbsp;S&rsquo;identifier avec Google&nbsp;&raquo; que vous voyez sur presque tous les sites de nos jours. Bien \u00e9videmment, il est possible de les pirater mais pas besoin de paniquer ou de changer votre mot de passe. Suivez notre plan d&rsquo;action. <\/p>\n","protected":false},"author":32,"featured_media":2985,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[9,686],"tags":[689,600,14,16,90,467,688,687,61,322],"class_list":{"0":"post-2984","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-threats","9":"tag-boutons","10":"tag-bug","11":"tag-facebook","12":"tag-google","13":"tag-hameconnage","14":"tag-kaspersky-internet-security-multi-device","15":"tag-oauth","16":"tag-openid","17":"tag-securite","18":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/des-vulnerabilites-pour-les-boutons-types-sidentifier-avec-facebook\/2984\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/boutons\/","name":"boutons"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2984","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=2984"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2984\/revisions"}],"predecessor-version":[{"id":17192,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2984\/revisions\/17192"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/2985"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=2984"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=2984"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=2984"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}