Réseaux sociaux : un site dévoile des failles

Le par  |  0 commentaire(s)
facebooklogo

Publié sous licence Creative Commons, le projet Social Network Security Portal divulgue les détails de vulnérabilités de sécurité touchant les réseaux sociaux.

facebooklogoMis en ligne la semaine dernière, le site SocialNetworkSecurity.org a décidé de secouer les puces de plusieurs plateformes qui entrent dans la catégorie des réseaux sociaux. On y retrouve ainsi l'inévitable Facebook - qui est du reste le plus connu - aux côtés de Netlog, Xing ou encore Friendscout24.de.

Une connotation allemande pour ce dernier et d'autres qui s'explique par le fait que l'équipe qui se cache derrière SocialNetworkSecurity.org est a priori basée en Allemagne mais souhaite tout de même conserver l'anonymat.

Le but affiché du projet est d'informer les utilisateurs de réseaux sociaux des risques de sécurité qu'ils encourent, et par la même occasion forcer ces réseaux sociaux à réagir. Cette initiative répond à une " frustration ". Les auteurs du site ont en effet découvert des failles par le passé mais ont éprouvé des difficultés pour en alerter qui de droit ou ont dû patienter de longues semaines avant d'obtenir une réponse.

La plupart de failles mises au jour par SocialNetworkSecurity.org relèvent du type cross-site scripting ( XSS ). Ces failles sont exploitées afin qu'un attaquant injecte de manière dynamique du code HTML dans des pages Web consultées par d'autres utilisateurs. Si certaines de ces failles ont déjà été corrigées, ce n'est pas le cas de toutes à l'instar d'une faille pour Netlog ainsi que pour... Facebook. Généralement, une preuve de concept est associée mais ce n'est pas le cas pour Facebook.

À noter que SocialNetworkSecurity.org demande aussi aux utilisateurs de soumettre les vulnérabilités qu'ils ont éventuellement découvertes..

En début d'année, Facebook a mis en place la navigation sécurisée HTTPS de bout en bout que l'utilisateur peut demander d'appliquer dans les paramètres de son compte, à la rubrique Sécurité du compte. Ce manquement avait été pointé du doigt par un développeur qui avait conçu l'extension Firesheep pour Firefox ( voir notre actualité ).

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]