Libertés Numériques

Sur la conférence Defcon de Las Vegas (du 1er au 4 août 2013), une présentation a montré comment un attaquant pouvait récupérer, via une app Android, les éléments d'authentification aux comptes d'accès des services Google pour consulter les données de leurs utilisateurs et se faire passer pour eux.

Le SSO, ou Single Sign On est une méthode d’authentification à des services web. OAuth, c’est le SSO de Facebook qui vous permet par exemple d’aller commenter certains sites de presse ou de jouer à de petits jeux. Aujourd’hui, Nir Goldshlager nous en raconte un bien bonne. Une faille béante concernant le lien du bouton d’autorisation d’accès aux applications utilisant OAuth permettrait de prendre le contrôle de n’importe quel compte en lui attribuant une URL forgée maison dans laquelle on injecte quelques paramètres observés sur ceux d’applications Facebook tierces, comprenant toutes les permissions qui vont bien…. et oui c’est une faille particulière débile.

Les développeurs peuvent intégrer des plates-formes d'authentification web sans avoir à écrire de code côté serveur.

Avec la dernière API annoncée par Amazon Web Services (AWS), les développeurs vont pouvoir utiliser les systèmes de log-in d'Amazon.com, de Facebook ou de Google pour leurs applications installées dans le cloud. Associé à l'API Security Token Service (STS) d'AWS, ce protocole de fédération d'identité sur le web, comme l'appelle Amazon, simplifie le processus de développement en permettant aux utilisateurs d'intégrer leurs plateformes d'identification web avec leurs applications sans avoir à écrire de code côté serveur. En plus de Google et de Facebook, AWS a également intégré à Amazon le service gratuit Login récemment annoncé, qui permet aux applications et sites web de tierce partie d'utiliser le système du géant de la distribution en ligne pour authentifier les connexions des utilisateurs.