La vengeance est toujours un plat qui se mange froid. Le chercheur en sécurité Egor Homakov de l’entreprise de sécurité Sakurity a livré la semaine dernière Reconnect, un outil qui permet de pirater des comptes Facebook à partir de sites compatibles Facebook Login. Reconnect exploite une faille Cross-Site Request Forgery (CSRF) identifiée dans Facebook Login, un service qui permet aux utilisateurs de se connecter sur des sites tiers en utilisant leur compte Facebook.

Le chercheur avait décidé de divulguer la faille sur son blog personnel en janvier 2014, Facebook ayant refusé de la corriger au motif que le patch aurait mis fin à la compatibilité avec un grand nombre de sites utilisant ce service. « Facebook a refusé de résoudre ce problème il y a un an, et le temps est malheureusement venu de passer au niveau supérieur et de livrer cet outil à la communauté des hackers », a déclaré jeudi Egor Homakov sur son blog.

Reconnect génère des URL associant Facebook Login avec de faux comptes Facebook. Ce détournement pourrait servir potentiellement à mener de massives campagnes de phishing. Quand les victimes potentielles cliquent sur ces URL, elles sont déconnectées de leurs propres comptes Facebook et connectées à de faux comptes du réseau social mis en place par des pirates. Mais en arrière-plan, leurs comptes liés aux sites Web utilisant le service Facebook Login restent connectés aux faux comptes Facebook. « C’est comme ça que les pirates détournent les comptes des victimes sur les sites tiers, et qu’ils en prennent le contrôle. Ils peuvent ensuite changer les mots de passe, lire les messages privés et effectuer un tas d'autres actions malhonnêtes », a expliqué le chercheur de Sakurity.

Reconnect peut aussi générer des URL malveillantes

L'outil proof-of-concept Reconnect peut également générer des URL malveillantes qui permettent de détourner des comptes sur des sites comme Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable et Vimeo. Mais il possible de cibler un grand nombre de sites compatibles avec Facebook Login en saisissant manuellement dans l‘outil les liens qui déclenchent les requêtes de connexion à Facebook au nom des utilisateurs légitimes. « Au total, l'attaque exploite le manque de protection CSRF de trois processus distincts : la connexion et la déconnexion à Facebook et la connexion de comptes tiers », a expliqué Egor Homakov. Selon lui, les deux premiers problèmes peuvent être corrigés par Facebook, mais le troisième doit être corrigé par les sites intégrant Facebook Login.

Facebook a essayé de rendre la faille plus difficile à exploiter, d’une façon qui ne supprime pas la fonctionnalité, et a donné quelques conseils aux développeurs de site Web. « C’est une situation que nous comprenons bien », a indiqué le réseau social dans un communiqué envoyé par courriel. « Les développeurs de sites qui utilisent Facebook Login peuvent éviter le problème en suivant nos bonnes pratiques et en utilisant le paramètre d’état que nous fournissons pour OAuth Login ».

Facebook a également déclaré que le réseau social avait « effectué plusieurs changements pour empêcher les connexions CSRF » et qu’elle étudiait « d’autres solutions qui permettent de préserver la fonctionnalité Facebook Login mise en place par un grand nombre de sites ».