Clés vulnérables

Le piratage de Facebook jette l’opprobre sur les systèmes de single sign-on

Facebook n’a pas trouvé de signes indiquant que des services tiers auraient été touchés par l’attaque récente qui a compromis 50 millions de comptes du réseau social. Reste que les services proposant le login Facebook sont potentiellement vulnérables.

Le login Facebook est le plus utilisé des systèmes d’authentification unique proposé par les services web populaires, juste devant celui de Google.
Le login Facebook est le plus utilisé des systèmes d’authentification unique proposé par les services web populaires, juste devant celui de Google.

Le récent piratage massif de comptes Facebook, qui concerne quelque 50 millions d’utilisateurs, a-t-il aussi permis de hacker des services tiers? La possibilité n’a dans un premier temps pas été écartée par Facebook, amplifiant l’inquiétude des utilisateurs et développeurs tiers. L’attaque a en effet potentiellement permis aux pirates d’accéder aux services ayant déployé Facebook Login, cette clé d’accès universelle (single sign-on) qui sert notamment à se connecter en un clic à Airbnb, Instagram, Spotify, Tinder, TripAdvisor et à des centaines de milliers d’autres apps et sites web. Selon une étude de 2016 l’éditeur LoginRadius, le login Facebook est le plus utilisé des systèmes d’authentification unique proposé par les services web populaires, juste devant celui de Google et loin devant les autres solutions (dont celles de Twitter et Linkedin).

Sur son blog, Facebook a publié une mise à jour concernant ses investigations consécutives au piratage massif, revenant sur les risques de voir des comptes compromis sur des services tiers. Le réseau social s’est voulu plutôt rassurant, indiquant n’avoir «jusqu'à présent trouvé aucune preuve que les assaillants aient accédé à des applications utilisant Facebook Login». Reste que l’accès était probable, jetant l’opprobre sur les vulnérabilités des systèmes de single sign-on (SSO) en général.

Un avertissement

Professeur assistant à l’Université de l’Illinois, Jason Polakis s’est entre autres spécialisé dans l’étude des failles des médias sociaux et de leurs systèmes d’authentification. Sur Twitter, il explique que l’attaque qui a ciblé Facebook est un avertissement clair des risques que posent ces solutions de login universel.

Hors de danger, sauf…

S’adressant aux développeurs ayant implémenté Facebook Login, Facebook précise que les utilisateurs de leur service ont été automatiquement mis hors de danger quand les tokens d’accès (clés d’accès uniques) ont été réinitialisés. Sauf en cas de non utilisation du kit de développement officiel… Ou si les développeurs auraient négligé de vérifier régulièrement la validité des jetons d'accès de leurs utilisateurs. Dépendre d’une telle clé d’accès pour laquelle seul le fournisseur principal, en l’occurrence Facebook, a le contrôle de la remédiation présente donc forcément des risques.

Certains services utilisant le login Facebook ont déclaré que rien n’indiquait que l’attaque les avait touchés. Il en va ainsi de Tripadvisor, qui a confié l’information au média indien The Economic Times. En revanche, les premiers utilisateurs de la solution de collaboration Facebook Workplace pourraient avoir été touchés, fait savoir Buisness Insider.

Webcode
DPF8_109538