Une faille de redirection dans Facebook a été utilisée pendant plusieurs mois. L’équipe de sécurité de Facebook a été contactée et le problème est réglé à présent. Voici tout de même les détails sur ce qu’il était possible de faire. Et sur ce qui vous a peut-être visé !

Les auteurs de cette découverte divergent selon les sources, je ne citerai donc personne tant que je n’aurais pas plus d’informations.

Je rappelle que la technique ne fonctionne plus, d’où mon droit de la publier pour la comprendre.

La faille est exploitable sous tous les navigateurs et même pour certains sous-domaines de Facebook.

Qu’est-ce qu’une faille de redirection ?

Une faille de redirection est comme son nom l’indique une faille permettant de rediriger une URL vers une autre, donc un site vers un autre.

Cela est différent des raccourcisseurs d’URL au sens où il ne s’agit pas d’un service prévu pour cela à la base.

Et c’est bien là que repose le problème !

Une URL courte comme bit.ly/xx123 parle aujourd’hui a beaucoup de personnes, mais facebook.com/xxx123 devrait être facebook, n’est-ce pas ?

Ainsi, cette faille permet par exemple d’initier des attaques par phishing. La victime clique bien sur le fameux lien https://www.facebook.com/. Cependant l’URL est redirigée vers un autre site qui peut-être une copie identique du site initial. Le faux site permet ensuite de voler des données personnelles alors que les utilisateurs pensent se connecter à un site légitime.

Détails sur la faille de redirection dans Facebook

La faille actuelle se situe au niveau de « OAuth Dialog », « Option Dialog » et « Friends Dialog ». Ce sont des petites fenêtres qui s’affichent au sein de Facebook permettant d’effectuer des actions spécifiques.

• OAuth dialog permet d’autoriser des utilisateurs à se connecter via une application. Elle permet aussi des donner des autorisations supplémentaires à des utilisateurs d’une application.

• Friends Dialog affiche la boite de dialogue permettant à l’utilisateur d’ajouter un ami.

• Option Dialog affiche des options diverses applicables par l’utilisateur.

Les Dialogs demandent cependant une session active (l’utilisateur doit être logué à Facebook) pour fonctionner.

C’est le paramètre redirect_uri qui permettait de rediriger vers une autre URL:

https://www.facebook.com/dialog/optin?app_id==&redirect_uri=http://google.fr

https://www.facebook.com/dialog/oauth?app_id==&redirect_uri=http://google.fr

https://m.facebook.com/dialog/friends?app_id==&redirect_uri=http://google.fr

Le paramètre next a le même effet :

https://www.facebook.com/dialog/optin?app_id==&next=http://google.fr

https://www.facebook.com/dialog/oauth?app_id==&next=http://google.fr

https://m.facebook.com/dialog/friends?app_id==&next=http://google.fr

Le paramètre app_id pouvait contenir n’importe quelle valeur, ce qui rendait donc l’exploitation encore plus facile car non seulement il peut s’agir d’un texte ciblé mais aussi d’un texte long cachant la fin de l’URL lorsqu’elle est coupée car trop longue :

https://www.facebook.com/dialog/oauth?app_id=Connexion_requise_blablablablabla&next=http://[...]

Techniquement, le lien ci-dessous est bien facebook.com ! Mais le site de phishing de destination vers lequel Facebook mène est caché à la fin (tronqué par exemple).

De plus, beaucoup de sous-domaines de Facebook étaient également affectés, par exemple :

https://m.facebook.com/dialog/oauth?app_id==&next=http://www.google.fr

https://touch.facebook.com/dialog/oauth?app_id==&next=http://www.google.fr

Des failles de redirection un peu partout ?

Il y a quelques années, des failles de redirections étaient déjà trouvées dans Facebook.

Certaines applications permettaient de rediriger un utilisateur via le paramètre « l », voici des exemples (qui ne fonctionnement actuellement plus) :

http://apps.facebook.com/heureaafceabe/0/preload.aspx?fb_force_mode=iframe&l=http://www.google.fr

http://apps.facebook.com/fifaccebcbdb/0/preload.aspx?fb_force_mode=iframe&l=http://www.google.fr

Articles similaires