Un mashup Facebook-Google menaçant

Les informaticiens ont montré que les fonctionnalités que de nombreux sites Web exposent aux développeurs, pour leur permettre de créer de puissantes applications Web, peuvent également être combinées de manière potentiellement néfaste.





Une équipe de l'Université de Californie à San Diego a utilisé les interfaces de programmation d'applications (API) de Google et Facebook pour créer un système qui permettrait à une personne de naviguer sur le Web dans l'anonymat. Les chercheurs, qui présenteront les travaux cette semaine Conférence Usenix sur la sécurité à Bellevue, Washington, affirment qu'un tel service pourrait potentiellement permettre aux cyber-escrocs de brouiller les pistes.

Notre intention est de faire reconnaître ce problème par les services, dit Jiaqi Zhang , doctorant en informatique à l'UCSD et membre de l'équipe. Nous espérons que lorsqu'ils verront notre travail, ils essaieront de faire quelque chose pour défendre leurs services afin qu'ils n'en souffrent pas et que d'autres n'en souffrent pas.

D'autres chercheurs ont montré comment une API peut être utilisée de manière non intentionnelle, par exemple pour transformer un compte Gmail en un disque dur en ligne. Mais les chercheurs de l'UCSD sont les premiers à combiner plusieurs services de cette manière.

Le service d'anonymisation des chercheurs, appelé CloudProxy, utilise les services Google pour stocker du contenu Web. Quatre comptes Google Docs contenant chacun 10 feuilles de calcul ont été utilisés pour mettre en cache les données ASCII des sites Web. Le contenu non ASCII a été stocké à l'aide d'un autre service Google. Ils ont également utilisé un service Web Facebook pour formater correctement leurs demandes Web et le service de raccourcissement d'URL de Google pour créer des demandes qui pourraient facilement être intégrées aux autres services Web.

Les chercheurs ont testé le service en chargeant une variété de contenus à partir de divers sites Web, puis en utilisant un programme de capture réseau, WireShark, pour confirmer qu'aucune information d'identification ne pouvait être glanée à partir des demandes.

Mike Geide, chercheur principal en sécurité pour le fournisseur de sécurité Web Zscaler , affirme que la technique pourrait être particulièrement pernicieuse car de nombreuses technologies de sécurité Web dépendent de l'identification des mauvais sites Web et de leur blocage. Personne ne bloquerait le trafic de Google ou de Facebook, note-t-il.

Ce que vous demandez à la fin de la journée, c'est de déterminer l'intention de l'activité, dit-il. Google doit parler à Facebook, car c'est ainsi que fonctionne le Web. Alors, comment déterminez-vous l'intention de ces demandes ?

Accorder l'anonymat aux internautes n'est qu'un scénario possible. Zhang de l'UCSD ajoute que Google, Facebook et d'autres services Web pourraient considérablement amplifier l'impact d'une attaque, aidant peut-être à mettre hors ligne un site Web ou un serveur informatique cible lors d'une attaque par déni de service. Google a beaucoup de ressources et de bande passante, donc si un pirate peut utiliser un service Google, il n'a pas besoin de créer un réseau zombie, il peut simplement utiliser Google pour lancer une attaque par déni de service, explique Zhang.

Cependant, Mark O'Neill, directeur de la technologie du fournisseur de sécurité cloud Avantage , affirme que les fournisseurs de services Web devraient être en mesure de mettre en place des défenses pour rendre leurs API plus difficiles à abuser. En examinant les modèles d'utilisation, dit-il, un service pourrait détecter les utilisateurs essayant d'exploiter les API de nouvelles manières.

cacher