Dyrk.org - Do You Really Know

[Sécurité] Pourquoi un site qui propose de se connecter via Facebook ou Google est dangereux !

Publié le 22 août 2016 par #Ro0t

Sans titre

 

Booonjouuur  à tous,

Un petit article qui vous fera prendre conscience de la porte ouverte qui est malheureusement installée sur de nombreux sites !

Par flemme vous adorez vous connecter sur plusieurs sites avec le petit bouton de login Facebook, ou bien celui de Google

 

Capture

 

C’est vraiment pratique … pas besoin de retenir de mot de passe … d’un simple clic on est connecté !

Facebook ou Google se contentent de vérifier que vous êtes connecté chez eux, et envoi ensuite, au site sur lequel vous souhaitez vous connecter, vos informations  :

  • Id
  • Nom – Prénom
  • Email

 

Ainsi, le site, fait entièrement confiance à Facebook et Google … pas d’authentification …

 Facebook ou Google envoient au site « JeMangeDesPatates.com » une adresse email, correspondant à la personne qui souhaite se connecter, si elle correspond à un utilisateur de ce site, hop il est connecté …

Sauf que dans la vraie vie …
Si vous avez besoin de Facebook ou de Gmail pour vous connecter !
Il n’en va pas dans les 2 sens.

 

Sans titre

 

Les petits sites indépendants, contiennent des données qui ne sont ni chez Facebook, ni chez Google

 

Alors, il serait très simple pour ces grosses institutions de se connecter à votre place, pour récupérer ces précieuses données qu’ils n’ont pas.

 

Lier un site à un autre …

N’est donc, pas forcément une bonne chose.

 

De plus : 

Dans l’hypothèse où nous pourrions faire confiance à Facebook & Google …
Leurs systèmes normalement « éprouvés » ne sont pas infaillibles!
Comme l’explique cet article :
http://motherboard.vice.com/read/facebook-linked-accounts-can-be-hijacked-with-this-tool

 

D’ailleurs, quel que soit le niveau de complexité de votre mot de passe sur tel ou tel site  …
Si :

  • Ce site permet de se connecter via Facebook ou Google
  • Votre email est rattachée à un compte Facebook ou Gmail, et que l’un ou l’autre se fait pirater …

L’attaquant n’aura pas à connaitre ce mot de passe ultra méga compliqué pour se connecter  à votre place sur ce site.

 

Pire ….

Il était possible, et je ne sais pas si ça a été corrigé, d’usurper l’identité d’un utilisateur (dont l’email n’est pas encore rattaché à un compte Facebook / Google), en créant un compte sur Facebook /Google avec sa propre adresse email.

Ainsi, en se connectant ensuite sur un site tiers, Facebook renvoyait bel et bien l’adresse email de cet utilisateur (alors même que ce compte avait été créé par une autre personne)

 

Voici une mise en situation :

Sans titre

 

 

Conclusion :

Fuyez comme la peste les sites qui vous proposent de vous connecter par ces biais là !
Notifiez les webmasters.
Vérifiez de temps en temps que personne ne crée de compte avec votre adresse email à votre insu !