Les cookies Facebook accusés de traquer l'utilisateur déconnecté
La déconnexion dans le colimateur
Facebook a lancé récemment de nombreuses nouveautés, aussi bien côté utilisateurs que développeurs. Une extension de Facebook Instant permet ainsi désormais aux applications tierces de publier du contenu sur le flux d’un utilisateur sans que celui-ci ait besoin de le valider à chaque fois, un partage que l’éditeur nomme « frictionless » (sans friction). Un blogueur tire la sonnette d’alarme sur la sécurité des cookies entourant cette fonctionnalité.
Le problème
Nik Cubrilovic attire l’attention sur la manière dont Facebook gère les cookies. Inquiété par cette possibilité d’avoir des partages d’informations non validés sur son flux, il a d’abord pensé que déconnecter Facebook de son navigateur serait suffisant. Ceci afin de couper tout contact entre les applications et les cookies créés par Facebook. Or, il a remarqué qu’en dépit de cette coupure, les cookies étaient toujours exploités.
D’après ses recherches, les fameux cookies continueraient de suivre la navigation de l’utilisateur, enregistrant au passage les traces des sites web visités. Nik Cubrilovic craint ainsi que du contenu puisse continuer à être posté sans le consentement express de l’utilisateur. Les cookies qui devraient être ainsi supprimés à la déconnexion voient en fait leur état « seulement » modifié, la suppression ne pouvant alors se faire que manuellement.
Les conséquences
Si les cookies ne sont pas supprimés, cela signifie non seulement qu’ils peuvent encore être interrogés par des services et applications tiers, même après déconnexion, mais qu’une même machine peut contenir les cookies de plusieurs utilisateurs.
Nik Cubrilovic indique ainsi qu’il avait dans le passé effectué des tests en créant plusieurs comptes factices. Chacun de ces comptes était utilisé pendant un moment puis déconnecté avant de passer au suivant. Après cette série, il lui était recommandé d’ajouter comme ami son profil réel, preuve que Facebook savait d’une manière ou d’une autre que tous ces profils avaient été utilisés depuis le même navigateur.
Du coup, Cubrilovic se pose la question des retombées dans le cas d’un ordinateur public comme on peut en trouver dans les cybercafés. Si Facebook laisse derrière lui des traces chaque fois qu’un utilisateur se connecte, ce qui pose d’évidents problèmes de sécurité. En particulier si le site est capable de faire remonter des informations tant que les sessions de navigation continuent, même en cas de déconnexion.
Pour Facebook, ces conclusions sont erronées
Nik Cubrilovic, sur son blog, dit avoir questionné Facebook à plusieurs reprises sur ces problèmes, sans jamais obtenir de réponse. Pourtant, Gregg Stefancik, ingénieur chez l’éditeur sur les systèmes d’authentification, est le premier à commenter le billet sur le blog.
Stefancik indique que les propos de Cubrilovic donnent une bonne opportunité d’expliquer le fonctionnement des cookies sur Facebook mais que plusieurs conclusions sont fausses. Il commence par indiquer que Facebook n’a pas d’intérêt particulier à suivre les utilisateurs car le site ne possède pas de réseau publicitaire et ne revend pas les données à des sociétés tierces. Les cookies ne servent donc pas au tracking mais sont utilisés pour « du contenu personnalisé (exemple, les « J’aime » de vos amis à l’intérieur d’un plug-in social), aider à améliorer ou maintenir notre service, ou protéger nos utilisateurs et notre service (en se défendant par exemple contre les attaques par déni de service ou en demandant une seconde authentification depuis un emplacement suspect) »
Il explique ensuite que les cookies restant après la déconnexion sont principalement utilisés pour :
Emil Protalinski, de chez ZDnet, a publié hier un article sur les découvertes de Nik Cubrilovic. Au cours de la même journée, lui aussi recevait un commentaire d’un ingénieur de Facebook, Arturo Bejar. Ce dernier donnait peu ou prou les mêmes éléments de réponse que Gregg Stefancik : « Les cookies de déconnexion sont utilisés pour la sécurité et la protection, dont : l’identification des spammeurs et des auteurs de phishing, détecter quand une personne non autorisée tente d’accéder à votre compte, vous aider à vous reconnecter si vous avez été piraté […] » et ainsi de suite.
Le problème
Nik Cubrilovic attire l’attention sur la manière dont Facebook gère les cookies. Inquiété par cette possibilité d’avoir des partages d’informations non validés sur son flux, il a d’abord pensé que déconnecter Facebook de son navigateur serait suffisant. Ceci afin de couper tout contact entre les applications et les cookies créés par Facebook. Or, il a remarqué qu’en dépit de cette coupure, les cookies étaient toujours exploités.
D’après ses recherches, les fameux cookies continueraient de suivre la navigation de l’utilisateur, enregistrant au passage les traces des sites web visités. Nik Cubrilovic craint ainsi que du contenu puisse continuer à être posté sans le consentement express de l’utilisateur. Les cookies qui devraient être ainsi supprimés à la déconnexion voient en fait leur état « seulement » modifié, la suppression ne pouvant alors se faire que manuellement.
Les conséquences
Si les cookies ne sont pas supprimés, cela signifie non seulement qu’ils peuvent encore être interrogés par des services et applications tiers, même après déconnexion, mais qu’une même machine peut contenir les cookies de plusieurs utilisateurs.
Nik Cubrilovic indique ainsi qu’il avait dans le passé effectué des tests en créant plusieurs comptes factices. Chacun de ces comptes était utilisé pendant un moment puis déconnecté avant de passer au suivant. Après cette série, il lui était recommandé d’ajouter comme ami son profil réel, preuve que Facebook savait d’une manière ou d’une autre que tous ces profils avaient été utilisés depuis le même navigateur.
Du coup, Cubrilovic se pose la question des retombées dans le cas d’un ordinateur public comme on peut en trouver dans les cybercafés. Si Facebook laisse derrière lui des traces chaque fois qu’un utilisateur se connecte, ce qui pose d’évidents problèmes de sécurité. En particulier si le site est capable de faire remonter des informations tant que les sessions de navigation continuent, même en cas de déconnexion.
Pour Facebook, ces conclusions sont erronées
Nik Cubrilovic, sur son blog, dit avoir questionné Facebook à plusieurs reprises sur ces problèmes, sans jamais obtenir de réponse. Pourtant, Gregg Stefancik, ingénieur chez l’éditeur sur les systèmes d’authentification, est le premier à commenter le billet sur le blog.
Stefancik indique que les propos de Cubrilovic donnent une bonne opportunité d’expliquer le fonctionnement des cookies sur Facebook mais que plusieurs conclusions sont fausses. Il commence par indiquer que Facebook n’a pas d’intérêt particulier à suivre les utilisateurs car le site ne possède pas de réseau publicitaire et ne revend pas les données à des sociétés tierces. Les cookies ne servent donc pas au tracking mais sont utilisés pour « du contenu personnalisé (exemple, les « J’aime » de vos amis à l’intérieur d’un plug-in social), aider à améliorer ou maintenir notre service, ou protéger nos utilisateurs et notre service (en se défendant par exemple contre les attaques par déni de service ou en demandant une seconde authentification depuis un emplacement suspect) »
Il explique ensuite que les cookies restant après la déconnexion sont principalement utilisés pour :
- Identifier et interdire les tentatives de spam et de phishing
- Bloquer la création de compte si un utilisateur tente de revenir en spécifiant une nouvelle date de naissance
- Aider les utilisateurs à récupérer des comptes piratés
- Alimenter certaines fonctionnalités de sécurité, comme les permissions d’authentification et de notifications
- Identifier les ordinateurs partagés pour décourager l’utilisation de la connexion permanente (proposée lors de l’identification)
Emil Protalinski, de chez ZDnet, a publié hier un article sur les découvertes de Nik Cubrilovic. Au cours de la même journée, lui aussi recevait un commentaire d’un ingénieur de Facebook, Arturo Bejar. Ce dernier donnait peu ou prou les mêmes éléments de réponse que Gregg Stefancik : « Les cookies de déconnexion sont utilisés pour la sécurité et la protection, dont : l’identification des spammeurs et des auteurs de phishing, détecter quand une personne non autorisée tente d’accéder à votre compte, vous aider à vous reconnecter si vous avez été piraté […] » et ainsi de suite.
Source :
Nik Cubrilovic
Vincent Hermann
le 26 septembre 2011 à 16:49
(16 423
lectures)
Actualités et brèves relatives
- 26 / 09 / 2011 : Facebook Music et Spotify : quid de Linux et du mobile ?
- 24 / 09 / 2011 : Édito : Google+ a-t-il forcé Facebook à évoluer plus que de raison ?
- 23 / 09 / 2011 : Deezer compte sur Facebook pour envahir le monde entier
- 23 / 09 / 2011 : L'application Musique débarque sur Facebook : une bonne idée ?
- 22 / 09 / 2011 : Facebook annonce Timeline : l'histoire de votre vie
- 22 / 09 / 2011 : Conférence F8 : vers un tournant dans la guerre Facebook / G+ ?
- 21 / 09 / 2011 : Facebook : « À la une » et photos améliorés, le « Ticker » arrive
- 21 / 09 / 2011 : Dossier PCi : tout ce qu'il faut savoir sur le « nouveau » Facebook
