SSTIC 2010 - Jeudi après-midi : 2ème conf

Sécurité sur Facebook

L’objectif de l’étude est de savoir s’il est simple de diffuser massivement une application facebook malicieuse.

L’application se présente sous la forme d’une application capable d’identifier quels amis de l’utilisateur l’ont supprimé de leur liste. Le lancement de l’application s’est fait avec un premier pool d’utilisateurs fictifs pour lequel facebook propose automatiquement 50 personnes susceptibles de vous connaitre sans captcha. La limite peut être augmentée à 360 en utilisant les boutons précédent et suivant.

Ils ont généré à l’aide de 21 profils facebook environ 5000 demande d’ami. Apparament il faut un certain réalisme dans le profil pour être accepté comme ami, les profils fantaisistes se font majoritairement refuser.

L’installation de l’application est annoncée à tous les amis du pool d’utilisateurs fictifs, ce qui provoque une adoption massive par un peu moins de 3000 utilisateurs. Un rappel est ensuite généré en provoquant la suppression d’un faux-ami du groupe, et l’on obtient au bout de 24h 5000 personnes ayant installé l’application malicieuse.

Les informations personnelles ainsi récoltées peuvent servir par la suite à des attaque sde social engineering ou bien à la récupération de mots de passe via question secrète.

Lors du développement de l’application, aucune réaction n’a été perçue du coté de facebook.
Par contre lorsque l’application à été signalée par les utilisateurs comme louche suite à un bug, la réaction de facebook à été immédiate, et l’application à été immédiatement blacklistée.

Coté sécurité, l’attitude à adopter face à facebook est de ne pas autoriser d’applications tierces pour parrer à ces risques (toutes les applications commençant par apps.facebook.com).

Pour conclure la diffusion d’une application facebook s’avère difficile (API mouvante, générer le buzz pour diffuser l’appli… ), mais les effets d’une application malicieuse et la quantité d’informations accessible est impressionnante.