Facebook veut fournir votre permis de conduire Internet

Bien que cela ne soit pas évident pour beaucoup, Facebook est en train de se transformer du site Web de médias sociaux le plus populaire au monde en un élément essentiel de l'infrastructure d'identité d'Internet. Si cela réussit, les comptes Facebook et Facebook deviendront une cible encore plus importante pour les pirates.





Alors que les professionnels de la sécurité se demandent si Internet a besoin d'une couche d'identité (un protocole uniforme pour authentifier l'identité des utilisateurs), un nombre croissant de sites Web votent avec leur code, adoptant Facebook Connect comme moyen pour toute personne possédant un compte Facebook de se connecter au site à l'adresse le clic d'un bouton.

Facebook a introduit Connect en juillet 2008, offrant des outils de sites Web tiers pour se coordonner avec les informations utilisateur détenues par Facebook, y compris les connexions. Ainsi, les sites Web avaient la possibilité de permettre aux utilisateurs de Facebook de s'identifier avec leur identité Facebook.

Ainsi, par exemple, le fournisseur de statistiques Web Alexa offre aux nouveaux utilisateurs le choix de créer un compte en saisissant un nom d'utilisateur et un mot de passe ou en cliquant simplement sur le bouton Se connecter avec Facebook. Les sites Web bien connus qui utilisent également Connect incluent Internet Movie Database, Ask.com et ESPN. D'autres prendront presque certainement le train en marche en 2011.



Le système d'identité de Facebook pourrait très bien fournir quelque chose que VeriSign, Microsoft, Yahoo et Google ont tous eu du mal à offrir : un seul permis de conduire pour Internet. (Cela laisse de côté la question de savoir si c'est une bonne chose pour une entreprise d'occuper une telle position de pouvoir.)

Une combinaison unique de facteurs rend Facebook bien adapté pour être le référentiel des identités des personnes sur Internet. Contrairement à de nombreux sites Web populaires, les utilisateurs doivent s'inscrire et se connecter. Et Facebook conditions d'utilisation exiger que les utilisateurs fournissent leurs vrais noms et informations - en effet, Facebook a résilié des comptes qui ont été créés avec des noms apparemment faux ou pour des personnages fictifs. Étant donné que les utilisateurs de Facebook investissent leurs comptes avec une énorme quantité de contenu personnel durable, y compris des photographies, des informations de contact et des connexions à leur réseau social, ils sont susceptibles de maintenir une relation à long terme avec le site.

Cette persistance de l'identité réelle met Facebook en mesure de résoudre l'un des problèmes les plus urgents sur Internet aujourd'hui : la prolifération des noms d'utilisateur et des mots de passe.



Contrairement à la pratique actuelle, il n'y a aucune raison pour que la plupart des sites Web obligent leurs utilisateurs à créer des noms d'utilisateur et des mots de passe. La plupart des sites Web n'ont pas besoin ou même ne veulent pas ou n'ont pas besoin de gérer les identités de leurs utilisateurs - ils veulent simplement un moyen d'identifier leurs utilisateurs de manière fiable au fil du temps. Les sites de médias, par exemple, veulent pouvoir attribuer des commentaires et limiter le spam. Les sites Web de finances personnelles veulent donner aux utilisateurs un moyen de surveiller en toute sécurité des informations hautement personnelles, par exemple un portefeuille d'actions que l'utilisateur peut saisir.

De plus, le maintien d'une infrastructure d'identité d'utilisateur comporte des risques, comme cela a été clairement démontré le mois dernier lorsque des pirates ont fait irruption dans les serveurs exploités par Gawker Media et ont téléchargé les noms d'utilisateur et les mots de passe de plus d'un million de comptes Gawker. Même si les mots de passe étaient cryptés, beaucoup étaient faciles à deviner, de sorte que les comptes pouvaient être facilement craqués, selon un analyse de l'attaque par des chercheurs en sécurité de l'Université de Cambridge. À la suite de l'attaque, plusieurs sites Web indépendants, dont LinkedIn et Woot, ont envoyé un e-mail à leurs utilisateurs les avertissant de changer leurs mots de passe s'ils étaient les mêmes que ceux qu'ils utilisaient pour Gawker.

Facebook Login permet à n'importe quel site Web de la planète d'utiliser son infrastructure d'identité et les mesures de sécurité sous-jacentes. Il est facile d'implémenter Facebook Login, simplement en ajoutant quelques lignes de code à un serveur Web. Une fois cette modification effectuée, les utilisateurs du site verront un bouton Se connecter avec Facebook. S'ils sont déjà connectés à Facebook (ayant récemment visité le site), ils peuvent simplement cliquer dessus et ils sont connectés. S'ils ne se sont pas connectés récemment, ils sont invités à saisir leur nom d'utilisateur et leur mot de passe Facebook.



Un avantage secondaire intéressant pour les opérateurs de sites Web est que Facebook Login fournit au site les vrais noms des utilisateurs (dans la plupart des cas) et éventuellement une variété d'autres informations, telles que les amis et les goûts des utilisateurs. Actuellement, Facebook ne facture pas aux sites Web l'utilisation de son infrastructure d'identité ou l'accès à ces informations supplémentaires, bien que Facebook le puisse certainement à l'avenir.

Facebook connaît déjà bien les problèmes de sécurité sur Internet, tout simplement parce qu'il détient les données personnelles de plus de 500 millions de personnes. L'utilisation accrue de la plate-forme Facebook pour des choses au-delà des médias sociaux - une banque en Nouvelle-Zélande, par exemple, a annoncé en novembre qu'elle permettrait aux clients d'accéder aux informations bancaires sur Facebook - soulève évidemment de nouvelles inquiétudes. Et si l'entreprise étend sa portée pour offrir une connexion universelle sur le Web, les défis auxquels elle est susceptible de faire face deviendront encore plus importantes.

En effet, au cours des dernières années, Facebook a pris des mesures pour améliorer la sécurité de sa plateforme de plusieurs manières.



Par exemple, l'année dernière, Facebook a introduit un système qui permet aux utilisateurs de demander un mot de passe à usage unique pour se connecter à partir d'un terminal public sur lequel un logiciel espion d'enregistrement de frappe peut être installé. Les utilisateurs envoient un SMS contenant les lettres otp à 32665 (FBOOK) à partir d'un téléphone portable enregistré, et les serveurs de Facebook renvoient un mot de passe qui peut être utilisé une seule fois pour se connecter au compte de l'utilisateur. La théorie est que peu importe qu'un pirate exécute un renifleur de mot de passe, car le mot de passe ne fonctionnera pas une deuxième fois.

Une autre innovation est la façon dont Facebook permet aux utilisateurs de surveiller les différents navigateurs Web et appareils à partir desquels ils se connectent à Facebook. En cliquant sur le Paramètres du compte menu déroulant et en sélectionnant la section Sécurité du compte, les utilisateurs de Facebook peuvent voir tous les appareils actuellement authentifiés, dont chacun peut être déconnecté à distance, utile si vous vous laissez connecté sur l'ordinateur de vos parents. Vous pouvez également demander à Facebook d'envoyer une notification par SMS à votre téléphone portable chaque fois qu'un nouvel appareil accède à votre compte Facebook. Bien sûr, si vous voyez une connexion depuis une machine que vous ne reconnaissez pas, il est temps de changer votre mot de passe.

Malheureusement, Facebook présente toujours deux vulnérabilités importantes qui rendent son site Web nettement moins sécurisé que ceux de la plupart des banques américaines : sa dépendance à un seul nom d'utilisateur et mot de passe pour accéder à un compte, et son utilisation d'un cookie non crypté pour suivre quels navigateurs Web sont connectés.

La combinaison nom d'utilisateur et mot de passe constitue un point de faiblesse. Les comptes Facebook peuvent être compromis par un attaquant qui pourrait voler ces informations sur un autre site ou les deviner en essayant de nombreuses combinaisons successives (une soi-disant attaque par force brute).

Nous avons construit des systèmes pour nous protéger contre ces types d'attaques par force brute, explique Simon Axten, porte-parole de Facebook. Par exemple, si nous détectons un certain nombre de tentatives de connexion suspectes pour un compte donné, nous aurons besoin d'un CAPTCHA, et nous pouvons même temporairement suspendre l'accès au compte.

Facebook surveille un certain nombre de signaux, y compris l'emplacement et l'appareil, dit Axten, pour déterminer quand un compte est soumis à une attaque soutenue. Une fois que nous avons signalé une tentative, même si les informations de connexion correctes ont été saisies, nous demanderons à la personne qui se connecte de fournir une authentification supplémentaire, par exemple en répondant à une question de sécurité, en entrant un code envoyé par SMS ou en identifiant des amis. tagué sur les photos auxquelles le propriétaire du compte a accès.

Néanmoins, il existe des moyens d'accéder au compte Facebook d'une personne même sans connaître le mot de passe. C'est parce que Facebook utilise ce qu'on appelle un cookie d'authentification pour garder une trace d'un navigateur Web lorsqu'il est connecté. Contrairement aux mots de passe Facebook, qui sont cryptés lorsqu'ils sont envoyés sur Internet, les cookies sont envoyés aux serveurs Web non cryptés de Facebook à chaque fois. un ordinateur communique avec le site. Ce n'est pas vraiment un risque si vous utilisez une connexion Internet câblée ou une connexion sans fil cryptée au travail ou à la maison. Mais si vous utilisez Facebook via un point d'accès sans fil non crypté dans un café ou un aéroport, quelqu'un qui exécute un renifleur de paquets sur un ordinateur portable pourrait voler votre cookie d'authentification dans les airs, puis se connecter à Facebook en tant que vous.

Ces reniflages sont devenus plus faciles que jamais à perpétrer l'automne dernier, lorsqu'Eric Butler, développeur indépendant d'applications Web et de logiciels à Seattle, a publié un plug-in Firefox appelé Mouton de feu qui automatise le processus. Avec Firesheep exécuté dans Firefox, vous obtenez une liste de tous les cookies d'authentification qui ont été reniflés : cliquez simplement sur le nom du compte et— voilà -vous accédez au compte de l'utilisateur sans même avoir à vous connecter.

À l'heure actuelle, la seule façon de vous protéger contre le reniflage de cookies est d'accéder à Facebook en utilisant la connexion cryptée à l'adresse https://ssl.facebook.com/ . Selon Axten, le serveur est toujours en cours de test et sera plus largement promu en option dans les mois à venir. Il ajoute : Comme toujours, nous conseillons aux gens de faire preuve de prudence lors de l'envoi ou de la réception d'informations sur des réseaux Wi-Fi non sécurisés.

Axten dit que Facebook est confronté à un défi de sécurité auquel peu, voire aucune, d'autres entreprises, ou même des gouvernements, n'ont été confrontés – protégeant plus de 500 millions de personnes sur un service qui est constamment attaqué. Le fait que moins d'un pour cent des utilisateurs de Facebook aient déjà rencontré un problème de sécurité sur le site est une réalisation importante dont nous sommes très fiers.

cacher