Facebook : fuite accidentelle dans les applications

Près de 20 millions d'applications Facebook sont installées chaque jour et Symantec vient souffler un vent de terreur pour les utilisateurs. Selon la société de sécurité, depuis le mois d'avril dernier près de 100 000 applications étaient susceptibles de fuites de données utilisateurs. Une faille présente depuis le début des applications Facebook en 2007.

" Nous avons découvert que dans certains cas, les applications iFrame Facebook ont laissé fuiter par inadvertance des tokens d'accès à des tierces parties comme des annonceurs ou des plateformes analytiques ", indique Symantec qui estime que des millions de tokens sont ainsi concernés.

Les tokens servent de clés d'accès que les applications Facebook utilisent pour diverses actions comme publier un message Facebook sur le mur de l'utilisateur, accéder à son profil. Chaque token ( ou jeton ) est associé à un ensemble restreint d'autorisations. Généralement, il expire après un court laps de temps.

Pendant plusieurs années, des applications qui s'appuient sur une ancienne forme d'authentification ont pu laisser fuiter ces clés d'accès, et de donner la possibilité à des tiers d'accéder à des informations utilisateurs ( accès à des profils, photos, messages... ). Pour Synamtec, de tels tiers n'ont toutefois pas forcément eu conscience de la faille.

Ce n'est pas la première fois que la plateforme d'applications de Facebook est pointée du doigt pour des problèmes de sécurité. Les développeurs doivent néanmoins se conformer à plusieurs obligations portant notamment sur le partage de données utilisateurs. En l'occurrence, Facebook considère qu'il n'y a aucune preuve d'une éventuelle infraction.

Symantec a prévenu Facebook du problème identifié et le réseau social a répondu avoir pris les mesures nécessaires. Compte tenu du risque que de nombreux tokens soient encore dans la nature ( dans des logs de serveurs tiers ), Symantec recommande toutefois aux utilisateurs Facebook de changer leur mot de passe pour les invalider.