Face.com colmate une faille sur son application iOS

le 22/06/2012, par Véronique Arène et IDG News Service, Hacking, 337 mots

Le spécialiste de la reconnaissance faciale, récemment acquis par Facebook a corrigé une vulnérabilité qui aurait pu permettre à des hackers de détourner des comptes du réseau social et de Twitter.

Face.com, une start-up dont le logiciel de reconnaissance faciale a récemment été acquis pas Facebook, a corrigé une faille de sécurité dans son app KLIK pour iOS. Cette vulnérabilité aurait pu permettre à des hackers de détourner des comptes utilisateurs Facebook et Twitter, a indiqué Ashkan Soltani, un chercheur indépendant en sécurité.

KLIK est une application pour appareil photo conçue pour que les internautes puissent facilement taguer les photos de leurs amis en scannant les albums sur Facebook et les profils sur Twitter. Cette fonctionnalité utilise la technologie de reconnaissance faciale développée par Face.com. Pour utiliser l'application, les utilisateurs doivent donner accès à leurs comptes Facebook et Twitter.

Une faille causée par le stockage des tokens OAuth

« Une simple faille de sécurité dans l'application permet aux utilisateurs d'accéder à d'autres comptes Facebook et Twitter », a déclaré Ashkan Soltani dans un billet de blog, le jour où Face.com a annoncé son rachat par Facebook. 

« La vulnérabilité a été causée suite au stockage, par Face.com, des OAuth tokens Facebook et Twitter (clés uniques d'authentification) sur ses serveurs », a précisé le chercheur. « Cette opération a été réalisée de façon non sécurisée et a rendu les comptes accessibles à tout le monde », a t-il ajouté.

En ayant accès aux clés d'authentification des utilisateurs, un pirate pouvait profiter des autorisations de l'app KLIK sur leurs comptes. Cela inclut la possibilité d'accéder aux photos privées et listes d'amis des internautes, de publier des mises à jour sur leur statut ou des tweets en leurs noms.

« En découvrant une faille sur la technologie de reconnaissance faciale, les implications sur la vie privée sont importantes», estime le chercheur en sécurité. « Un pirate pourrait, par exemple, détourner le compte utilisateur d'une personnalité, comme celui de Lady Gaga. Avec l'application Klik, il pourrait taguer les millions d'amis sur Facebook à leur insu. »

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...