Face.com, une start-up dont le logiciel de reconnaissance faciale a récemment été acquis pas Facebook, a corrigé une faille de sécurité dans son app KLIK pour iOS. Cette vulnérabilité aurait pu permettre à des hackers de détourner des comptes utilisateurs Facebook et Twitter, a indiqué Ashkan Soltani, un chercheur indépendant en sécurité. KLIK est une application pour appareil photo conçue pour que les internautes puissent facilement taguer les photos de leurs amis en scannant les albums sur Facebook et les profils sur Twitter. Cette fonctionnalité utilise la technologie de reconnaissance faciale développée par Face.com. Pour utiliser l'application, les utilisateurs doivent donner accès à leurs comptes Facebook et Twitter.

Une faille causée par le stockage des tokens OAuth

« Une simple faille de sécurité dans l'application permet aux utilisateurs d'accéder à d'autres comptes Facebook et Twitter », a déclaré Ashkan Soltani dans un billet de blog, le jour où Face.com a annoncé son rachat par Facebook. « La vulnérabilité a été causée suite au stockage, par Face.com, des OAuth tokens Facebook et Twitter (clés uniques d'authentification) sur ses serveurs », a précisé le chercheur. « Cette opération a été réalisée de façon non sécurisée et a rendu les comptes accessibles à tout le monde », a t-il ajouté.

En ayant accès aux clés d'authentification des utilisateurs, un pirate pouvait profiter des autorisations de l'app KLIK sur leurs comptes. Cela inclut la possibilité d'accéder aux photos privées et listes d'amis des internautes, de publier des mises à jour sur leur statut ou des tweets en leurs noms.

« En découvrant une faille sur la technologie de reconnaissance faciale, les implications sur la vie privée sont importantes», estime le chercheur en sécurité. « Un pirate pourrait, par exemple, détourner le compte utilisateur d'une personnalité, comme celui de Lady Gaga. Avec l'application Klik, il pourrait taguer les millions d'amis sur Facebook à leur insu. »