Cette faille énorme de sécurité sur laquelle Facebook ferme les yeux

Hein ?

Hein ?Les pirates usent fréquemment de complexes et sournois virus ainsi que de divers exploits pour passer vos sécurités et piller allègrement vos données. Toutefois, par bien des aspects, la simplicité est le secret de la réussite. Facebook affiche d'un véritable gouffre d'entrée et ne semble pas s'en inquiéter outre mesure.

Un principe de base s’applique ici et pour le coup il n’est pas inhérent à Facebook mais plutôt à Internet. Il n’y a rien de plus simple que de réinitialiser le mot de passe de quelqu’un.

En effet, au commencement, la Toile était une petite chose somme toute simple qui s’est complexifiée avec le temps. Ainsi, sur ces fondements relativement primitifs, se calque une architecture de plus en plus alambiquée.

Inutile d’être un pirate zélé pour comprendre que l’un des deux est plus facile à craquer que l’autre. La façon de réinitialiser un mot de passe qui n’est pas le vôtre en est une preuve concrète.

Par exemple, admettons que vous ayez oublié votre mot de passe, et tant qu’à faire, votre adresse email. Il vous faut passer par une question de sécurité et un service client pour réassigner votre compte à un mail valide. Vous recevez alors un nouveau mot de passe et il ne reste plus qu’à vous connecter. A aucun moment vous n’avez tapé de balise HTML ou inséré un quelconque périphérique de stockage…

Les ‘hacks’ de ce type ne manquent pas et pourtant il y a un moyen TRES simple de les contrer. Facebook devrait permettre à chaque usager de modifier sa question de sécurité. Élémentaire. Effectivement, combien de personnes sont capables de connaître ‘la rue où vous avez grandi’ ou ‘le nom de votre premier chat’ ?.

L’intérêt de ces questions réside dans leur évidence, car vous n’en oublierez jamais les réponses. Comme tous vos copains de primaire, votre famille, vos amis proches ou une personne mal intentionnée et dotée d’un moteur de recherche.

Il n’y a actuellement aucun moyen de saisir manuellement votre question de sécurité, ce qui est tout de même… ballot.

[poll id= »20″]

N’oubliez pas, vous pouvez suivre Gizmodo.fr sur les réseaux sociaux : Facebook, Twitter, Google+ !

Tags :
Dernières Questions sur UberGizmo Help
  1. Il y a un moyen simple pour éviter que l’on trouve la réponse à cette question de sécurité… C’est tout simplement de mettre une réponse qui n’a rien à voir avec la question posée !!
    Après il faut s’en rappeler, mais là aussi c’est simple. On choisit 4 ou 5 réponses possibles que l’on utilisera tout le temps sur les différents sites qui utilisent cette technique de récupération de mot de passe.

      1. Celui qui n’arrive a se mémoriser son mot de passe ne mérite pas de mot de passe.

        (adapté librement d’une citation de Benjamin Franklin: « Ceux qui sont prêts à abandonner une liberté fondamentale pour obtenir temporairement un peu de sécurité, ne méritent ni la liberté ni la sécurité. »)

  2. « Il n’y a actuellement aucun moyen de saisir manuellement votre question de sécurité, ce qui est tout de même… ballot. »

    Effectivement, j’y ai déjà pensé pour quelques uns de mes sites. Mais le résultat est accablant :

    – « Quel est mon prénom ? »
    – « Quel âge j’ai ? »
    – « De quelle couleur sont mes yeux ? »
    – « Je mesure combien ? »

    A la louche, alors que la cible du site testé reste geek, donc plutôt sensé être « au courant » des dangers de l’internet, 80% des questions personnalisées sont totalement ridicules. Entre les réponses qui varies selon le temps (votre age, votre poids, votre taille, etc) et les questions encore plus évidentes que celles déjà proposées (la couleur de vos cheveux, de vos yeux, etc) c’est une vraie hécatombe.

    L’effet a été totalement inversé à celui que nous espérions, à un tel point que nous avons dû supprimer cette fonctionnalité et repartir sur des questions, certes, simples, mais suffisamment pertinentes.

    Je pense que nous commettons tous une erreur en traitant tous les internautes comme des personnes responsables. La grande majorité ne l’est pas. La grande majorité n’est pas au courant de ce genre de problème et la grande majorité n’est pas capable de comprendre ce genre de subtilité. On a l’Internet que l’on mérite (et c’est bien dommage).

    Alors oui, ouvrir ce genre de fonctionnalité à des personnes aguerries serait idéal. Mais on en peut malheureusement pas généraliser ce phénomène au risque d’empirer les choses.

  3. Effectivement , je fait pareil

    Je met une réponse qui n’a rien à voir avec la question posé
    seul problématique, s’en rappeler,
    ce que je n’aimais pas aussi le fait d’accéder a son compte en reconnaissant des personne sur des photos, y’a pas pire, suffit que les contacts connaissent ces personnes.
    Facebook manque de sécurité

  4. Je viens de faire le test sur mon propre compte et en effet, c’est effarant à quel point on peut modifier le mail de connexion, le mot de passe et tout le reste une fois qu’on a découvert la réponse à la « question secrète » !
    Honnêtement, si vous connaissez bien la personne, il est ultra-facile de récupérer son compte !
    Si encore on pouvait changer cette fameuse question secrète ce serait mieux, mais pour celles et ceux qui ont déjà enregistré leur question et leur réponse, alors c’est compliqué.
    La meilleure parade : donner une réponse qui n’a RIEN A VOIR avec la question. Ainsi, seul vous connaissez la réponse attendue, c’est une sorte de 2è mot de passe en somme….

  5. « A aucun moment vous n’avez tapé de balise HTML ou inséré un quelconque périphérique de stockage… »
    Que veut dire l’auteur par cette phrase ? Je ne comprend pas vraiment ce que vient faire une balise html et un périphérique de stockage pour saisir un mot de passe ?

      1. c’est ce que je me disais, aucun rapport avec la phrase initiale. Une injection sql comme son nom l’indique ce n’est pas du html et le keylogguer on parlait bien (je crois) de saisie et non de récupération. Merci pour la réponse.

  6. Lorsque l’on active pas cette option (la question secrète) et que l’on demande à re-initialiser l’email il faut choisir 3 personnes dans les amis qui recevront un code que l’on devra taper (les 3).
    Je trouve ça relativement propre, même si ça n’empêche pas de truander car aucun système n’est parfait.
    Je trouve d’ailleurs l’article un poil trop « alarmiste » par rapport au sujet.

  7. Bien souvent, je trouve les questions un peu stupide.

    Ce que j’ai toujours fait pour ma part c’est de remplir le formulaire de la question secrète par un ensemble généré aléatoirement avec des lettres minuscules, majuscules, chiffres, caractères spéciaux. Le petit soucis, c’est que j’ai pas intérêt à oublier mon code. Car je ne saurais pas quoi répondre à cette question après.

    Il faut avouer que les questions sont souvent assez stupides et qu’une personne qui nous connaitrait bien pourrait facilement trouver la réponse à cette question. Ou en cherchant simplement la réponse à ce que cette personne à poster sur internet (blogs, forums, sites, profils ou autres).

  8. Hahaha je l’ai eu fait! et dans la plupart des cas pour la question: « quel est votre plat préféré » la réponse était « Pizza » hahahaha

  9. aucune idee de se que je mets en question et encore moins en réponse, mais les mots de passe je le retient  » postit écris sous le clavier », sinon generateur de mote passe sur linux par exemple echo `< /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c8`

  10. « En effet, au commencement, la Toile était une petite chose somme toute simple qui s’est complexifiée avec le temps. »

    C’est pas le contraire ? Au debut il y avait des sites et des blogs remplis de gens et maintenant ça s’est simplifié a Facebook et Twitter, le reste en est presque devenu un internet underground à moitié mort ou avec des vieux geek survivants. C’est tellement plus simple d’avoir tout le monde sur un seul site…

  11. A quand un site qui n’impose pas des questions *formatées* mais plutôt que l’on impose soi au site en cas d’oubli du mot de passe?

  12. Un jour quelqu’un a voulu changer mon mot de passe facebook.

    J’ai reçu un mail me signalant la modification et via un simple clic sur un lien j’ai tout annulé.

  13. Le plus simple et le plus sécurisé reste le gestionnaire de mot de passe, je suis tous les jours étonné de voir à quel point cette pratique est peu répandue alors que des solutions géniales existent.. perso j’utilise gratuitement Dashlane et j’en suis très satisfait, et je sais qu’il en existe d’autres très bien également.

  14. Je travaille dans le dév. web, donc je mets toujours un truc du style « daFNsxs-sxSKiudmfdàé485kmd-?^sdkmdaàd¨èeyé!dsjfn » à ces question stupides ! Je suis également d’accord que ces questions sont une énorme faille de sécurité. Toutefois, je crois qu’il y a un délai de 24h avant de récupérer le mot de passe avec Facebook. Un e-mail est envoyé à l’adresse e-mail du compte Facebook avec possibilité de bloquer la récupération. Si le pirate n’a pas accès à l’adresse e-mail et que l’on regarde ces e-mail tous les jours, c’est possible d’éviter le piratage.

    Je préfère nettement le récupération par e-mail ou par sms., nettement plus difficile à compromettre et très simple d’utilisation. Faites attention toutefois avec les smartphones. Ne mettez pas votre numéro de téléphone pour récupérer votre compte Gmail ou une adresse e-mail qui est synchronisée avec votre smartphone. En cas de vol, vous n’avez plus qu’à espérer que le voleur ne rendent pas compte du cas ci-dessus…….

    Ensuite, pour les sites sensibles (e-mail, réseau sociaux, banque, e-commerce, etc…), j’ai un mot de passe unique. J’ai une technique toute simple pour faire des mots de passe unique et s’en souvenir. J’ai un mot de passe classique, par exemple « HelloWorld85 » (exemple fictif). Pour le rendre unique, j’ajoute les 3 premières lettres du site. Par exemple, pour FACebook, cela deviendra « FACHelloWorld85 » et pour HOTmail ==> « HOTHelloWorld85 ». C’est une technique très facile à retenir et qui offre un très bon niveau de sécurité. Un humain comprendra rapidement la supercherie, mais une machine n’y verra que du feu. Dans le cas d’un piratage massif (Playsation store, Linkedin, etc…), c’est des machines qui agissent. Dans ce cas, cette technique est très efficace.

    Enfin, les mots de passe devraient être cryptés afin que les employés / administrateurs du site / voleurs de données ne connaissent pas votre mot de passe. Il est très difficile, voire impossible de décrypter un mot de passe. Je parle bien de décrypter et pas de comparer les empreintes avec une base de données « dictionnaire » comportant les mots de passes fréquents et leurs empreintes (md5 / SHA). Pour savoir si votre mot de passe est crypté, rien de plus simple. Demandez une récupération par e-mail. Si on vous envoie votre mot de passe, cela signifie que votre mot de passe n’est pas crypté….. Un mot de passe temporaire ou un lien pour le nouveau mot de passe sont un excellent signe du respect de cette norme (crypter les mots de passe), mais une garantie totale.

  15. Bonjour. J avoue que j ai essayé de comprendre vos échanges mais pour moi c est du charabia. Je n avais pas de question secrete et je me suis fais hacker mon fb.et par la même occasion ma boîte mail. Ca fait des jours que j essaye de reprendre la main dessus mais ca semble impossible. Tout a ete modifié, adresse de recup, numéro de tel… tout tout! Quelqu’un peut il me dire s il existe encore une solution? Merci.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité