[Sécurité] Pourquoi un site qui propose de se connecter via Facebook ou Google est dangereux !
Booonjouuur à tous,
Un petit article qui vous fera prendre conscience de la porte ouverte qui est malheureusement installée sur de nombreux sites !
Par flemme vous adorez vous connecter sur plusieurs sites avec le petit bouton de login Facebook, ou bien celui de Google ...
C'est vraiment pratique ... pas besoin de retenir de mot de passe ... d'un simple clic on est connecté !
Facebook ou Google se contentent de vérifier que vous êtes connecté chez eux, et envoi ensuite, au site sur lequel vous souhaitez vous connecter, vos informations :
- Id
- Nom - Prénom
Ainsi, le site, fait entièrement confiance à Facebook et Google ... pas d'authentification ...
Facebook ou Google envoient au site "JeMangeDesPatates.com" une adresse email, correspondant à la personne qui souhaite se connecter, si elle correspond à un utilisateur de ce site, hop il est connecté ...
Sauf que dans la vraie vie ...
Si vous avez besoin de Facebook ou de Gmail pour vous connecter !
Il n'en va pas dans les 2 sens.
Les petits sites indépendants, contiennent des données qui ne sont ni chez Facebook, ni chez Google ...
Alors, il serait très simple pour ces grosses institutions de se connecter à votre place, pour récupérer ces précieuses données qu'ils n'ont pas.
Lier un site à un autre ...
N'est donc, pas forcément une bonne chose.
De plus :
Dans l'hypothèse où nous pourrions faire confiance à Facebook & Google ...
Leurs systèmes normalement "éprouvés" ne sont pas infaillibles!
Comme l'explique cet article :
http://motherboard.vice.com/read/facebook-linked-accounts-can-be-hijacked-with-this-tool
D'ailleurs, quel que soit le niveau de complexité de votre mot de passe sur tel ou tel site ...
Si :
- Ce site permet de se connecter via Facebook ou Google
- Votre email est rattachée à un compte Facebook ou Gmail, et que l'un ou l'autre se fait pirater ...
L'attaquant n'aura pas à connaitre ce mot de passe ultra méga compliqué pour se connecter à votre place sur ce site.
Pire ....
Il était possible, et je ne sais pas si ça a été corrigé, d'usurper l'identité d'un utilisateur (dont l'email n'est pas encore rattaché à un compte Facebook / Google), en créant un compte sur Facebook /Google avec sa propre adresse email.
Ainsi, en se connectant ensuite sur un site tiers, Facebook renvoyait bel et bien l'adresse email de cet utilisateur (alors même que ce compte avait été créé par une autre personne)
Voici une mise en situation :
Conclusion :
Fuyez comme la peste les sites qui vous proposent de vous connecter par ces biais là !
Notifiez les webmasters.
Vérifiez de temps en temps que personne ne crée de compte avec votre adresse email à votre insu !
jamais lu autant de conneries
je suis fair play, je publie ton commentaire (comme tous les autres).
Je pense que tu as surement un très bon niveau en terme de sécu et de veille en informatique ^^
Je t’invite cependant à te documenter sur les failles découvertes ces dernières années …
Je suis sur que si j’avais écrit un article pour dire qu’un frigo serait en mesure de produire une attaque … ça t’aurais probablement paru absurde …
Bref, si le contenu de ce site ne parait pas en adéquation avec ta pensée, et ne t’apprend rien, il en existe surement un paquet d’autre … bonne journée
Je ne suis pas du tout d’accord (et contrairement à l’autre commentaire, je vais essayer de me justifier).
La sécurité de Facebook / Google sera bien plus poussé que la sécurité du petit site. Ils ne sont pas infaillible, mais bien plus robuste.
Ces sites disposent certes de nombreuses failles, mais cela est dû à leur popularité. Ce qui entraine également un programme de Bug Bounty, des récompenses pour les gens qui trouvent ces failles, et des équipes dédiées pour les corriger au plus vite.
Sur un petit site, nous n’avons aucune de ces garanties. Une faille trouvée par quelqu’un peut rester plusieurs mois (voir année) sans être corrigée.
Pour la mise en situation, avec Georges et Robert, il s’agit dans un premier temps d’une mauvaise implémentation du « petit site » : il doit vérifier, lors d’une inscription et d’une connexion, que la personne se connecte de la même manière. Lorsque Georges se connecte avec un compte Facebook, si l’adresse existe en base de données, le site doit lui retourner une erreur.
Ensuite, pour créer un compte Facebook ou Gmail, il faut une validation, envoyé sur l’adresse mail entrée (mais cela à du probablement changé depuis l’écriture de l’article).
Enfin, le seul point sur lequel je ne peux qu’être d’accord, c’est la récupération de données par ces sites. Même sans se connecter à notre place, ils savent qu’on a lié notre compte à tel ou tel site. Même si, une fois inscrit sur ce genre de « gros » site, notre confidentialité restait encore « à nous » :p
Pour conclure, je dirais qu’effectivement, se connecter par Facebook ou Google n’est pas une solution infaillible. On repose simplement la sécurité sur eux, et non plus sur le « petit » site. Mais pour moi c’est une bonne chose, la sécurité de ces sites étant testé régulièrement, contrairement au site sur lequel on se connecte. Idem pour l’implémentation, j’ai plus confiance en Facebook et Google que sur une PME ou qu’un développeur amateur.
Mais ce n’est que mon avis :p
petite question, si on a créé un espace perso sur un site avec la connexion via facebook, comment faire pour désactiver la fonctionner et repasser aux identifiants mail + mdp?