Certains sites vous permettent de vous connecter avec votre compte Facebook au lieu d’exiger une inscription séparée. Ce n’est pas toujours une bonne idée : récemment, Tinder a eu des problèmes après que le réseau social ait apporté des modifications à l’API.
Cette fois, des chercheurs de l’université de Princeton ont découvert que sur le million de sites les plus visités dans le monde, 434 utilisent un code JavaScript tiers qui intercepte les données de “Login with Facebook”. La liste complète des sites touchés se trouve ici.
Comme l’explique Bleeping Computer, cette interception se fait de deux façons. Dans le scénario 1, l’utilisateur clique sur “Se connecter avec Facebook”, et le réseau social répond avec les données du compte de l’utilisateur.
Ces données doivent être limitées au domaine que vous avez autorisé. Cependant, il peut être intercepté par un code JavaScript tiers. Il s’agit d’un identifiant d’utilisateur spécifique au site qui peut être converti en identifiant Facebook et utilisé pour obtenir plus d’informations sur le visiteur.
Le scénario 2 est un peu plus complexe. Par exemple, vous visitez le site A qui utilise un tracker, et vous cliquez sur “Se connecter avec Facebook”. Le réseau social vous envoie un jeton pour autoriser l’accès à votre profil.
Lorsque vous visitez le site B qui utilise le même tracker, il place une iframe invisible du site A. Ainsi, il utilise ce même jeton d’autorisation pour obtenir vos données sur Facebook et pour suivre votre comportement sur le web.
Cette méthode est encore plus malhonnête, et les chercheurs n’ont découvert qu’un seul site affecté. BandsInTown a résolu le problème après avoir été alerté.
Selon l’étude, il s’agit des services tiers qui interceptent les données de Facebook : Augur, Lytics, ntvk1.ru, ProPS et Forter. Il y a aussi OnAudience, qui a interrompu la pratique après avoir été contacté par les auteurs.
Tealium est également mentionné par les chercheurs, mais dit dans une déclaration à PerlmOl qu’il ne suit pas la pratique décrite par eux. “Le logiciel de Tealium est utilisé par des entreprises pour gérer leurs propres données d’utilisateur ; nous n’utilisons pas ces données à quelque fin que ce soit et nous n’achetons, ne partageons ni ne vendons ces données”.
“Cette exposition involontaire de données à des tiers n’est pas due à un bug dans la fonction de connexion à Facebook”, affirment les chercheurs de Princeton. “C’est plutôt dû à l’absence de frontières de sécurité entre les scripts primaires et les scripts tiers sur le web actuel.
Dans une déclaration à TechCrunch, Facebook déclare que “la copie des données des utilisateurs est en violation directe de nos politiques. Pendant que la question est examinée, il n’est plus possible de lier l’ID utilisateur d’un site web spécifique à votre ID Facebook ? c’est la méthode utilisée dans le scénario 1.
