Facebook et Twitter échouent aux tests basiques de sécurité

0
68

À la lumière de la controverse FireSheep, Digital Trends a mené une étude qui explique les principales vulnérabilités dans Twitter, Facebook, Hotmail, Flickr, et d’autres sites populaires.

Sans entrer dans la polémique du plugin Firefox FireSheep, Digital Trends a étudié les fonctions de sécurité de base de 11 sites populaires et leur a donné des notes. Les résultats ne sont pas merveilleux pour la plupart, en particulier pour les sites de réseaux sociaux Twitter et Facebook, qui ont tous deux reçu une mauvaise note.

Les raisons pour lesquelles ils n’ont pas pu en obtenir sont assez techniques, mais cela tourne autour du fait qu’ils ne proposent pas une connexion entièrement sécurisée via SSL (Secure Sockets Layer). Un moyen facile de savoir si vous êtes sur un site protégé via SSL est de regarder si votre barre de navigation annonce “https: / /» au lieu de la norme «http://». Si vous n’êtes pas en SSL, alors il est possible que vos renseignements soient volés, car cela n’est pas chiffré. Facebook et Twitter ne chiffrent pas les données tout le temps, une fonctionnalité qui ils devraient mettre en œuvre.

Il y a quatre façons de base pour obtenir un accès piraté :

Si un site ne prend pas en charge la navigation SSL, tout le monde peut voir ce qui transite entre vous et le serveur, à tout moment pendant la navigation.

Dans un sidejacking de type “partiel“, l’attaquant met la main sur un cookie d’authentification des utilisateurs et gagne l’accès partiel à leur compte. Un cookie d’authentification est un petit fichier que les sites mettent en cache sur votre ordinateur par le biais du navigateur Web, permettant de revenir sur un site web sans re-connecter à chaque fois.

Dans un sidejacking de type “complet” ou “total“, l’attaquant prend le contrôle total de votre compte, il peut obtenir votre nom d’utilisateur et votre mot de passe. Il peut alors tout faire sauf changer le mot de passe si le site  en question demande que vous re-tapez l’ancien mot de passe. Le sidejacking complet est effrayant. Dans Hotmail, par exemple, un attaquant devrait être en mesure de lire tous vos e-mails.

Enfin, dans un détournement complet, l’agresseur prend alors le contrôle total de votre compte et peut changer quoi que ce soit, y compris votre mot de passe. Les sites qui n’ont pas l’authentification SSL vous rendre vulnérable à un détournement complet.
Soyez prudent.

Le meilleur conseil : soyez prudents lorsque vous naviguez sur Facebook, Twitter, et autres sites qui requiers des identifiants de connexion. Surtout si vous êtes connecté sur un hot-spot Wi-Fi public. Certains réseaux Wi-Fi sont publics mais chiffrés, ce qui rend plus difficile le piratage.