Bienvenue à Blogs CodeS-SourceS Identification | Inscription | Aide

CoqBlog

.NET is good :-)
{ Blog de coq }

Actualités

Facebook et la sécurité

Je suis tombé sur un article de Pierre CARON (CERT-LEXSI) : Pourquoi Facebook a crucifié la sécurité (en français).
Cet article est plutôt facile à lire et l'auteur y donne son point de vue sur les raisons de certaines lacunes dans le fonctionnement de la plateforme, et les raisons pour lesquelles il pense que ces lacunes ne seront probablement jamais comblées.

Sujets abordés :

  • contrôle d'identité : on n'est jamais réellement certains que sous un profil se cache réellement la personne à qui il est censé appartenir, sauf si on en a la confirmation directe par celle-ci.
  • authentification forte : la plateforme est gratuite et devrait le rester si elle veut conserver son public, alors mettre en oeuvre un moyen d'authentification engendrant des coûts supplémentaires...
  • absence de modération : je n'ose imaginer les moyens à mettre en oeuvre pour réellement filtrer les contenus publiés sur Facebook.
  • l'utilisation de Facebook sur le lieu de travail : le blocage n'empêchera pas la fuite d'information si elle devait avoir lieu, au mieux il améliorera la productivité.

Vous aviez probablement déjà conscience de la plupart de ces points et ne partagez peut être pas l'avis de l'auteur sur tous, mais il est toujours bon d'avoir un autre point de vue.
Au moins pour tenter de convaincre ses relations que l'utilisation de ce genre de plateforme grand public (ou pas) n'est pas sans risque, juste après les avoir convaincus qu'il faut qu'ils utilisent l'outil en se disant que toute information qu'ils déposent dessus pourrait bien un jour échapper à leur contrôle.

Ceci dit, cela ne veut pas dire que les équipes techniques/sécurité de Facebook font du mauvais travail.
Ils ont quand même l'air de bien gérer les fléaux qui ciblent ce genre de plateforme énorme et grand public, je pense notamment au spam (du moins de mon point de vue, mais c'est peut être dû aux profils des gens avec qui je suis en relation).

 

Et je profite de ce premier post de 2010 pour vous souhaiter à tous une bonne année !

Ce post vous a plu ? Ajoutez le dans vos favoris pour ne pas perdre de temps à le retrouver le jour où vous en aurez besoin :
Posted: dimanche 10 janvier 2010 13:50 par coq
Classé sous :

Commentaires

nickadele a dit :

Bonjour,

je trouve l'article de Pierre CARON sans aucun sens et avec en plus un titre bien tapageur.

Il n’y aura jamais de contrôles d’identité sur Facebook :

En fait le contrôle se fait au travers des utilisateurs existant. Lorsqu'un nouvel utilisateur se présente, la première chose qu'il fait après son inscription c'est se mettre en relation avec ses amis.

Ceux-ci auront vite fait de valider s'il s'agit d'un imposteur ou non.

Il n’y aura pas d’authentification forte avant longtemps – voire jamais :

Même sur la pluspart des sites payant !

Il n’y aura jamais de modération adéquate :

Idem que le premier point, la modération se fait au travers des lecteurs, chacun ayant la possibilité de signaler un abus. En tout cas je sais par expérience qu'il existe une modération des images et vidéos. Un jour une amie avait publié un lien vers une petite vidéo (youtube), cette vidéo représentait une campagne de pub un petit peu hot (comme certains publicistes savent y faire) et bien il n'a pas fallu 1 heure pour qu'elle soit virée (la vidéo).

Et enfin, les salariés utiliseront toujours Facebook sur leur lieu de travail.....mais d’abord parce que l’usage de Facebook sur le lieu de travail n’est pas une question de sécurité, mais de productivité...

Tout patron qui constate une baisse de productivité aura vite fait de mettre des interdits vis à vis de ce type de site ou alors c'est un patron qui va droit au casse pipe.

# janvier 11, 2010 16:55

coq a dit :

Bonjour,

"un titre bien tapageur"

Ca, c'est certain !

"En fait le contrôle se fait au travers des utilisateurs existant[...]"

Oui et non, ce n'est pas sans faille (pas plus que ne le serait un contrôle d'identité, mais ça serait déjà plus compliqué d'usurper une identité).

Il y a aussi des personnes qui pensent à une personne et la cherche : si cette dernière est nouvellement inscrite, comment être sûr ?

De plus Facebook n'est pas forcément utilisé uniquement pour être connecté à ses proches directs : on dispose alors de moins de repères.

Les informations disponibles sur le profil ne sont pas forcément un bon moyen de vérifier : si elles sont accessibles publiquement elles sont reproductibles, nous ne sommes pas plus avancés.

Si elles ne sont pas disponibles publiquement, il faut être en relation directe avec la personne pour y avoir accès : si ce n'est pas la personne attendue, elle aura eu accès à nos informations (à moins d'utiliser une liste "bac à sable" pour ce genre de mise en relation et d'y avoir ajoutée la personne à la demande de mise en relation, mais je n'ai même pas la certitude que cela fonctionne réellement).

Le nombre d'amis (si visible) n'est pas non plus une indication fiable : il suffit qu'il y ai eu un "effet troupeau" (je ne vois pas comment illustrer l'idée autrement, désolé) et tout le monde tombe dans le panneau.

Ceci peut être particulièrement vu avec les profils attribués à des personnes connues : Steve Ballmer ? Lequel ?

"Même sur la pluspart des sites payant !"

Et ils stockent peut être aussi les mots de passe en clair, qui sait.

Je ne crois pas que cet argument de l'auteur soit à prendre uniquement comme une critique, mais surtout comme une constatation du fait que l'authentification forte sur ce type de plateforme serait tout simplement énorme à mettre en oeuvre et extrêmement couteux (bien que j'ai du mal à me représenter exactement à quel point).

"chacun ayant la possibilité de signaler un abus[...]"

Oui, la modération repose sur une sorte de "citoyenneté", comme dans toute communauté.

Mais pour que cela marche, il faut encore que quelqu'un prenne la peine d'effectuer le signalement (quelqu'un qui ne se dise pas "quelqu'un a déjà dû le faire" ou "le suivant le fera bien").

Si personne ne prend cette peine, comme par exemple sur des pages/groupes à caractère "fun" (Facebook n'est pas forcément un monde totalement sérieux), des contenus choquants voire compromettant pour une personne peuvent y rester un certains laps de temps.

Lorsque nous sommes "taggués" dans une photo, nous n'avons à ma connaissance pas le moyen de bloquer la publication du tag jusqu'à validation, nous pouvons juste le supprimer quand nous en sommes avertis.

"Tout patron qui constate une baisse de productivité aura vite fait de mettre des interdits vis à vis de ce type de site ou alors c'est un patron qui va droit au casse pipe."

Tout à fait, mais après tout c'est presque un moyen de communication comme un autre. Cependant c'est sûr que voir quelqu'un passer son temps à amuser la galerie durant son temps de travail est plutôt énervant.

Un blocage est toujours possible, mais c'est presque une course perdue d'avance, surtout si les personnes passent plus de temps à essayer de contourner l'interdiction qu'ils n'en passaient à utiliser.

Dans ce paragraphe les principaux points à retenir sont je pense :

- le fait que justifier un tel blocage par les risques de fuite d'informations n'est pas une bonne piste : comme si les gens laissaient le contenu de leur cerveau au travail le soir.

- si la perte de productivité ne vient pas de Facebook elle viendra d'ailleurs, ce n'est pas ce qui manque. Après tout les boites mail explosaient bien avant que Facebook ne se dévoile au grand public :p

Bref, cet article a au minimum le mérite de décrire une partie qu'il ne faut pas attendre d'une telle plateforme, afin que les utilisateurs restent un minimum conscient de ce qu'ils font avec.

Après tout, nos relations peuvent donner accès à certaines de nos informations aux applications qu'ils utilisent, sauf si paramétrage correct effectué en section "Privacy".

Maintenant ceux qui utilisent sans réfléchir devront assumer.

Mais ce n'est que mon avis :-)

# janvier 12, 2010 00:10

coq a dit :

"[...]le mérite de décrire une partie qu'il ne faut pas attendre[...]"

Je voulais bien sûr dire

"le mérite de décrire une partie DES CHOSES qu'il ne faut pas attendre"

# janvier 12, 2010 00:20

nickadele a dit :

Merci pour ta réponse.

"Maintenant ceux qui utilisent sans réfléchir devront assumer"

Le problème c'est pas les sites, qu'ils soient sociaux ou non, c'est ce que l'utilisateur en fait !

# janvier 12, 2010 13:00
Les commentaires anonymes sont désactivés
Les 10 derniers blogs postés

- Merci par Blog de Jérémy Jeanson le 10-01-2019, 20:47

- Office 365: Script PowerShell pour auditer l’usage des Office Groups de votre tenant par Blog Technique de Romelard Fabrice le 04-26-2019, 11:02

- Office 365: Script PowerShell pour auditer l’usage de Microsoft Teams de votre tenant par Blog Technique de Romelard Fabrice le 04-26-2019, 10:39

- Office 365: Script PowerShell pour auditer l’usage de OneDrive for Business de votre tenant par Blog Technique de Romelard Fabrice le 04-25-2019, 15:13

- Office 365: Script PowerShell pour auditer l’usage de SharePoint Online de votre tenant par Blog Technique de Romelard Fabrice le 02-27-2019, 13:39

- Office 365: Script PowerShell pour auditer l’usage d’Exchange Online de votre tenant par Blog Technique de Romelard Fabrice le 02-25-2019, 15:07

- Office 365: Script PowerShell pour auditer le contenu de son Office 365 Stream Portal par Blog Technique de Romelard Fabrice le 02-21-2019, 17:56

- Office 365: Script PowerShell pour auditer le contenu de son Office 365 Video Portal par Blog Technique de Romelard Fabrice le 02-18-2019, 18:56

- Office 365: Script PowerShell pour extraire les Audit Log basés sur des filtres fournis par Blog Technique de Romelard Fabrice le 01-28-2019, 16:13

- SharePoint Online: Script PowerShell pour désactiver l’Option IRM des sites SPO non autorisés par Blog Technique de Romelard Fabrice le 12-14-2018, 13:01