Alheim

Je m’intéresse de près à la sécurité des applications web car c’est un sujet au centre de mon activité professionnelle : les modes d’authentifications, les failles de type XSS ou phishing, la gestion de l’identité numérique etc…

C’est aujourd’hui un frein (un France tout du moins) à l’adoption massive des applications SAAS par les entreprises. Mais est ce que cela ne pourrait pas le devenir aussi pour les particuliers ?

Aujourd’hui c’est Facebook qui a pris. Premier effet kiss-cool, une note de MrBoo concernant un hack qui permet de se constituer une base mail qualifiée en quelques minutes.

En quelques mots, il suffit d’être authentifié sur Facebook et de taper l’url suivante : http://www.facebook.com/search/?ref=ffs&q=toto@gmail.com&o=2048&init=ffs en changeant toto@gmail.com par n’importe quelle autre adresse email. Si cette adresse existe dans l’application, les informations personnelle de son propriétaire son affichées. C’est balo….

En codant rapidement un générateur d’adresses mail du type : prenom@hotmail.com, prenom@gmail.com, je vous laisse imaginer la quantité de profiles qualifiés pouvant être récupérés. Vous ne vous êtes jamais demandé comment certains courriels de spam arrivaient dans votre boîte ?

Deuxième effet kiss-cool, une note sur ZDNet de Pierre Caron intitulée Pourquoi Facebook a crucifié la sécurité. J’ai trouvé son analyse très pertinente et je vous invite à la lire.

Selon l’auteur, qui constate “l’ampleur des dégâts en matière de sécurité“, “…il ne faudra jamais attendre de Facebook (ou de tout autre réseau social personnel) qu’il développe chez ses utilisateurs une quelconque culture de la sécurité face aux risques qu’il porte : la sécurité est tout simplement antinomique de Facebook, pour des raisons intrinsèques au réseau.”

Brrrrrr…ça fait froid dans le dos. Cela veut il dire que les photos de tante Jacqueline complètement beurrée lors de ma première communion ne sont pas en lieu sûr ? Et bien non, et voici pourquoi selon Pierre Caron.

1- Il n’y aura jamais de contrôle d’identité numérique sur Facebook

Même si certains acteurs se positionnent très bien sur le sujet (MyId.is par exemple), les internautes voudront toujours pour la plupart conserver une identité virtuelle qui les sort souvent de la monotonie de la vie réelle. En imposant cela, Facebook pourrait perdre une grande partie de son audience.

2- Il n’y aura pas d’authentification  forte avant longtemps, voire jamais

C’est vrai que je vois mal Facebook distribuer 200 millions de token… Et puis le service ne serait plus gratuit. Nous allons donc continuer à utiliser l’authentification par mot de passe que l’on sait, je cite, “obsolète depuis des années et attaquée par tout cheval de Troie qui se respecte”.

3- Il n’y aura jamais de modération adéquate

Bon alors là, l’auteur enfonce une porte ouverte. Évidemment que cela serait peu rentable, quand on imagine le nombre de photos, vidéos et messages échangés sur le réseau.

On voit bien à la lecture de cet article que son titre est pertinent. Pierre Caron conclut “Il me paraît ainsi évident que le principe même de sécurité est incompatible avec Facebook. Mais au final, est-ce si grave ?”. Et bien moi, je trouve ça grave. Ok ce n’est pas forcément un problème si ma tante Jacqueline est vue par des internautes qu’elle ne connaît pas mais quand est il pour les personnes moins informées qui fournissent des informations très très personnelles sur le réseau (non je ne citerai pas d’exemple).

Qu’on sache qu’un réseau social d’une telle ampleur n’est pas sécurisé est une chose, mais encore faudrait il prévenir les internautes novices en la matière.

En ce qui concerne les réseaux sociaux professionnels, moins massifs et surtout moins anonymes, il reste en réserve quelques méthodes pour palier à ces problèmes de sécurité et garantir la fiabilité des identités et des informations.

La suite dans un prochain billet…

Ce soir je suis tombé sur cet article  qui décrit une méthode particulièrement astucieuse pour éviter de se faire spammer sur les formulaires.

Alors bien sûr, il existe la fameuse captcha, mais je ne la trouve pas satisfaisante. Parfois, les séquences sont quasi-illisibles et cela rajoute de la complexité dans la saisie des formulaires. En ces temps où l’on cherche à simplifier et améliorer l’expérience utilisateur, nous devons penser à d’autres systèmes.

L’auteur nous explique sa méthode en se basant sur l’analyse suivante :

- les robots remplissent tous les champs de formulaire

==> l’ajout d’un champs masqué en css dans le formulaire permet de vérifier si le formulaire a été rempli par un être humain. Dans le code de soumission du formulaire, en vérifiant la présence de cette variable dans le POST, on peut vérifier la provenance.

- les robots remplissent les formulaires à une vitesse non humaine

==> en vérifiant le temps qui s’est écoulé entre l’affichage du formulaire et sa soumission, il est possible de vérifier si il a été rempli par un être humain.

Vous pourrez trouver la librairie PHP écrite par le bloggueur. Elle est particulièrement bien écrite.

Est-ce une bonne solution ? Comment un robot pourrait la contourner ? Vos avis ?

Original article writen by Alexandre Heimburger and published on Alheim | direct link to this article | If you are reading this article elsewhere than Alheim, it has been illegally reproduced and without proper authorization.