Pourquoi facebook ne sera jamais sécurisé
Posted on | January 6, 2010 | 5 Comments
Je m’intéresse de près à la sécurité des applications web car c’est un sujet au centre de mon activité professionnelle : les modes d’authentifications, les failles de type XSS ou phishing, la gestion de l’identité numérique etc…
C’est aujourd’hui un frein (un France tout du moins) à l’adoption massive des applications SAAS par les entreprises. Mais est ce que cela ne pourrait pas le devenir aussi pour les particuliers ?
Aujourd’hui c’est Facebook qui a pris. Premier effet kiss-cool, une note de MrBoo concernant un hack qui permet de se constituer une base mail qualifiée en quelques minutes.
En quelques mots, il suffit d’être authentifié sur Facebook et de taper l’url suivante : http://www.facebook.com/search/?ref=ffs&q=toto@gmail.com&o=2048&init=ffs en changeant toto@gmail.com par n’importe quelle autre adresse email. Si cette adresse existe dans l’application, les informations personnelle de son propriétaire son affichées. C’est balo….
En codant rapidement un générateur d’adresses mail du type : prenom@hotmail.com, prenom@gmail.com, je vous laisse imaginer la quantité de profiles qualifiés pouvant être récupérés. Vous ne vous êtes jamais demandé comment certains courriels de spam arrivaient dans votre boîte ?
Deuxième effet kiss-cool, une note sur ZDNet de Pierre Caron intitulée Pourquoi Facebook a crucifié la sécurité. J’ai trouvé son analyse très pertinente et je vous invite à la lire.
Selon l’auteur, qui constate “l’ampleur des dégâts en matière de sécurité“, “…il ne faudra jamais attendre de Facebook (ou de tout autre réseau social personnel) qu’il développe chez ses utilisateurs une quelconque culture de la sécurité face aux risques qu’il porte : la sécurité est tout simplement antinomique de Facebook, pour des raisons intrinsèques au réseau.”
Brrrrrr…ça fait froid dans le dos. Cela veut il dire que les photos de tante Jacqueline complètement beurrée lors de ma première communion ne sont pas en lieu sûr ? Et bien non, et voici pourquoi selon Pierre Caron.
1- Il n’y aura jamais de contrôle d’identité numérique sur Facebook
Même si certains acteurs se positionnent très bien sur le sujet (MyId.is par exemple), les internautes voudront toujours pour la plupart conserver une identité virtuelle qui les sort souvent de la monotonie de la vie réelle. En imposant cela, Facebook pourrait perdre une grande partie de son audience.
2- Il n’y aura pas d’authentification forte avant longtemps, voire jamais
C’est vrai que je vois mal Facebook distribuer 200 millions de token… Et puis le service ne serait plus gratuit. Nous allons donc continuer à utiliser l’authentification par mot de passe que l’on sait, je cite, “obsolète depuis des années et attaquée par tout cheval de Troie qui se respecte”.
3- Il n’y aura jamais de modération adéquate
Bon alors là, l’auteur enfonce une porte ouverte. Évidemment que cela serait peu rentable, quand on imagine le nombre de photos, vidéos et messages échangés sur le réseau.
On voit bien à la lecture de cet article que son titre est pertinent. Pierre Caron conclut “Il me paraît ainsi évident que le principe même de sécurité est incompatible avec Facebook. Mais au final, est-ce si grave ?”. Et bien moi, je trouve ça grave. Ok ce n’est pas forcément un problème si ma tante Jacqueline est vue par des internautes qu’elle ne connaît pas mais quand est il pour les personnes moins informées qui fournissent des informations très très personnelles sur le réseau (non je ne citerai pas d’exemple).
Qu’on sache qu’un réseau social d’une telle ampleur n’est pas sécurisé est une chose, mais encore faudrait il prévenir les internautes novices en la matière.
En ce qui concerne les réseaux sociaux professionnels, moins massifs et surtout moins anonymes, il reste en réserve quelques méthodes pour palier à ces problèmes de sécurité et garantir la fiabilité des identités et des informations.
La suite dans un prochain billet…
Comments
5 Responses to “Pourquoi facebook ne sera jamais sécurisé”
Leave a Reply
Tags
Recent Posts
Recent Comments
- SoEmily on Intégrer dans VI des man pages UNIX pour la documentation PHP
- Vicodin. on Faut il écrire du code php plus court ?
- PHP Help as a Man Page (with Pear) : World Gone Web on Intégrer dans VI des man pages UNIX pour la documentation PHP
- fch on Intégrer dans VI des man pages UNIX pour la documentation PHP
- Damien on Intégrer dans VI des man pages UNIX pour la documentation PHP
Archives
- January 2010 (9)
- October 2009 (1)
- July 2009 (1)
- March 2009 (1)
- November 2008 (3)
- October 2008 (1)
- September 2008 (2)
- July 2008 (1)
January 6th, 2010 @ 3:12 pm
[...] Ce billet était mentionné sur Twitter par Bertrand Duperrin, Hubert Vaudaux. Hubert Vaudaux a dit: RT @bduperrin: Reading: Pourquoi facebook ne sera jamais sécurisé > +1 http://bit.ly/68iFqy [...]
January 7th, 2010 @ 10:18 am
Billet intéressant !
Concernant la partie sur la vérification ou certification de l’identité numérique, je te trouve un peu trop catégorique. Tout d’abord on pourrait imaginer un système où cohabite profil vérifié et profil non vérifié: Facebook n’aurait pas l’obligation de l’imposer à tous ses utilisateurs (cf. comptes certifiés de Twitter). Ensuite, tu peux tout à fait disposer d’une ID certifié et surfer de manière anonyme ce n’est pas antinomique. Par ailleurs, la majorité des utilisateurs de ce réseau social utilise leur “véritable identité” (nom, prénom). Enfin, le développement de Facebook Connect, c’est à dire la possibilité de se logger sur un nombre croissant de services en ligne avec ses identifiants Facebook, devrait faire remonter ce besoin de vérification de l’identité. Si Facebook souhaite devenir l’identifiant unique ils ne pourront pas négliger cette piste reste maintenant à savoir comment certifier les profils et sécuriser l’authentification….
January 7th, 2010 @ 10:46 am
@Olyvyer On pourrait en effet imaginer la cohabitation de profiles certifiés ou non. Le risque c’est que les internautes privilégient les profiles certifiés dans leur réseau. Les profiles non-certifiés seraient alors mis à l’écart petit à petit. Je rapproche ce phénomène des évaluations sur ebay : on préfère acheter et vendre aux ebayeurs “recommandés”.
Concernant les méthodes de certification de l’identité, elles existent. MyId.is en est la preuve. En revanche le déploiement à grande échelle n’est pas pour tout de suite. A suivre donc
January 7th, 2010 @ 4:41 pm
Excellent post
Pour ce qui est du déploiement à grande échelle, il arrive doucement certes puisque nous ne serons prêt à distribuer notre solution dans les 17000 points de ventes de la Poste que début 2011, mais nous ouvrons la voie.
January 7th, 2010 @ 5:40 pm
C’est vrai ! Félicitations d’ailleurs pour ça