Failles de sécurité dans les services d’identification Facebook et Google
Pourtant avec l'essor des réseaux sociaux et la multiplication des comptes liés ces services sont très appréciés des internautes.
Les services de connexion à des application tierces par identification unique aux travers de Facebook, Paypal ou encore Google, sont considérés comme vulnérables d’après une étude menée par des chercheurs de l’université indienne de Bloomington en collaboration avec Microsoft Research.
Ils offrent un gain de temps considérable pour ceux qui n’auraient pas envie de fouiller les recoins de leur mémoire pour retrouver leur mot de passe et devraient en principe permettre de centraliser ses informations en toute sécurité. Cette méthode d’authentification centralisatrice implique donc côté utilisateur un soin particulier apporté à la complexité du mot de passe lié au serveur qui l’identifie (Google, Facebook etc.). Dans le cas contraire, un hacker qui obtiendrait ses identifiants pourrait s’installer chez lui, enfiler sa robe de chambre et profiter de tous les avantages liés à son adresse de domicile sans être inquiété d’être démasqué.
L’étude, qui doit être présentée en mai lors d’un congrès d’experts sur la sécurité et la confidentialité, a été menée durant dix mois en ciblant les fournisseurs d’identification implémentés sur les sites web. Or huit failles de sécurité qualifiées de “graves” par les chercheurs ont été détectées concernant des services de grande envergure et des sites a priori dignes de confiances tels que Google, PayPal Access, Facebook, FarmVille… Ce constat est d’autant plus étonnant que l’on pourrait raisonnablement espérer que ces grandes sociétés déploient des efforts à la hauteur de leur taille. L’importance des enjeux concernant les utilisateurs qui font confiance en leur expertise pèse également dans la balance. “Toutes ces failles permettent à un attaquant d’être pris pour sa victime dont il usurpe l’identité“ explique l’étude. “Nous avons communiqué nos résultats aux entreprises concernées dont nous avons reçu différentes formes de remerciements. Cette étude doit démontrer que la qualité globale de la sécurité fournie par ces systèmes d’authentification SSO est inquiétante“.
Les services d’authentification unique (Single Sign-On en anglais) offrent des interfaces de programmation relayant les informations de connexion du visiteur qui transitent par le serveur d’identification jusqu’au site tiers où l’internaute veut se connecter. Lorsque l’utilisateur est “logué“, que ses identifiants ont été validés par le fournisseur, ce dernier renvoie un token de certification pour donner le feu vert au site tiers qui embarque son service d’interconnexion. Les données relayées à partir du site web vers le fournisseur (Facebook, Paypal ou Google par exemple) sont envoyés au travers du navigateur de l’utilisateur. Cette étape du processus d’authentification concentrerait une grande partie des préoccupations émises par les chercheurs. Des informations cruciales contenues dans le token peuvent alors être capturées par une personne mal intentionnée, voire même modifiées avant que le navigateur de l’internaute ne renvoie l’information vers le fournisseur d’ID.
Rui Wang, chercheur chez Microsoft Research explique que sa préoccupation première “ne concerne pas l’infrastructure mais relève plutôt des méthodes de programmation pour intégrer l’API. La pratique actuelle consiste en ce que les fournisseurs d’ID livrent l’API et ses spécifications d’intégration. Il relève ensuite de la responsabilité des développeurs de sites utilisateurs de sécuriser leur système au final. Cette façon de faire introduit rapidement des faiblesses d’interconnexion entre les parties concernées qui peuvent être exploitées par l’attaquant“.