Dernières infos :

Injection xss via le bouton "Like" / "J'aime" Facebook ?

lundi 3 mai 2010 [17:41:02]

Injection xss via le bouton "Like" / "J'aime" Facebook ?

Petite mise au point: le bouton Like / J'aime de facebook n'a rien d'exceptionnel, il s'agit d'une application de type cross-site scripting dont l'objectif est de recueillir des informations sur la navigation de l'utilisateur. Rien de plus simple en vérité car en intégrant un code iframe dans le code html, on intégre en fait une page toute entière (avec ses cookies), à l'origine les frames (cadres) ont été conçues pour ça, pour permettre de regrouper plusieurs pages d'origines diverses (url distinctes) sur une même page html. Ainsi on peut tromper l'utilisateur sur l'url de la page, faire croire qu'on se trouve par exemple sur http://www.barbie.com alors qu'on se trouve en réalité sur https://www.cia.gov, rien de plus simple, c'est un jeu d'enfant.

Cette pratique à toujours été découragée par les netiquettes, en particulier à cause des risques de failles, de sécurité ou de malveillance etc. Il y a même des scripts anti-frames utilisés par les webmasters pour contrer ce genre de désagréments. Ce qui est surprenant ce n'est pas la technique car elle est aussi vieille que le web mais son recyclage en toute impunité par un réseau social de première importance comme facebook.

Il y a quelques années une telle pratique aurait provoqué l'indignation voire le ridicule, ce genre d'astuce était juste digne des sites pornos ou de casinos en ligne, aujourd'hui la plupart des médias encensent et utilisent largement cette application (bouton Like / J'aime de facebook) et la saluent comme une formidable extension du web social etc. Alors qu'en fait il ne s'agit que d'un vulgaire cross-site scripting (logiciel espion), à quand la célébration du phishing social ? du spam social ? Cynisme ou candeur extrème ?

Mais à quoi ça sert ? A chaque fois que nous voyons le bouton "Like / J'aime" sur une autre site que facebook nous sommes automatiquement détectée par facebook ce qui permet à facebook de nous suivre à la trace même en dehors de facebook. Ce qu'ils font des informations ainsi recueillies ? tout simplement facebook affine nos profils (sociaux, économiques, politiques, psychologiques, sexuels) et constitue un fichage en profondeur de chacun de ses membres. Quelles seraient les conséquence si un fichier pareil tombait entre les mains de votre patron, de vos proches, d'une entreprise tierce ? je n'en sait rien, par contre il faut bien se douter que ces fichiers sont déjà disponibles (à la vente)...

Une page du web a bien été tournée (détournée), le WWW n'a plus rien de World, ni de Wide, il ne reste plus que le WEB c'est à dire cette toile d'araignée où nous nous débattrons comme des moucherons avant de servir de déjeuner...

PS. si vous désirez supprimer les boutons Like sur les sites que vous visitez pour garantir votre sécurité ajoutez la règle http://www.facebook.com/plugins/like.php dans l'addon Adblock Plus de firefox.