Une information lue sur Zdnet de la plume d’Emil Protalinski et que j’ai vérifié pourrait permettre un accès plus facile à votre profil par un éventuel pirate.
Ne vous inquiétez pas de trop, ce n’est tout de même pas un trou de sécurité monstrueux qui a été découvert mais simplement une implémentation faites par Facebook pour faciliter la vie de leurs utilisateurs et qui fait que pour un même compte il existe trois mots de passe distincts qui permettent de s’y connecter…
En fait il se trouve que si votre mot de passe est pAsSwOrD1234, et bien facebook vous reconnaitra aussi si vous saisissez comme mot de passe PAsSwOrD1234 (Première lettre en majuscule) ou bien si vous saisissez PaSsWoRd1234 (Les majuscules et les minuscules inversées).
Ce qui voudrait dire qu’en cas d’attaque par brute force sur un compte (ce qui bien entendu est par ailleurs protégé) l’attaquant aurait plus de chance de tomber sur le bon mot de passe puisqu’il n’y en a pas qu’un seul, qu’il n’est pas unique mais qu’il y en a au contraire trois différents qui peuvent correspondre.
Ceci étant posé, et de par le fait que c’est par design et d’après un responsable FB peut être pour une durée limitée je ne crois pas qu’il faille trop s’appesantir sur cette information et ne pas se montrer trop alarmiste.
Par contre il est intéressant de se demander pourquoi on en est arrivé à une telle situation et surtout quelles peuvent être les décisions qui mènent à offrir ce qui est à l’origine une manière de simplifier la vie des utilisateurs mais qui s’avère au final un risque qu’on leur fait courir.
Les deux mots de passe supplémentaires existent l’un dans le cas d’une utilisation de certaines versions mobiles qui mettent à l’insu de l’utilisateur le premier caractère de toute saisie en majuscule, y compris les mots de passe. Le second est là pour palier à une touche "Caps Lock" ("Verr Maj" ou verrou majuscule) qui serait bloquée sur la position inverse de celle habituelle (donc les majuscules par défaut). Autant si on peut comprendre le premier cas, le second lui est un peu plus difficile à comprendre.
Vous devez avoir déjà vu des sites qui vous demandent de bien vérifier que la touche "Caps Lock" n’est pas active avant de saisir votre mot de passe. Et c’est probablement déjà largement suffisant comme vérification, mais on imagine lorsqu’on fait du logiciel assez bien ce qui a pu conduire à faire ce choix. Vouloir rendre service à l’utilisateur, se mettre dans la peau d’un simple utilisateur qui ne connait pas cette touche ou trop l’informatique. Et donc voulant simplifier l’expérience on crée une situation qui présente éventuellement un risque pour l’utilisateur. Ca n’est pas nouveau, c’est même un des risques majeur de ces prochaines années, à trop vouloir faire simple on réduit d’autant les connaissances nécessaires pour profiter de la technologie ce qui est un bienfait en soi. Mais qui va mener de nombreux utilisateurs inconscients de leurs lacunes à avoir des comportements risqués pour leur vie privée ou pour leurs données.
Venez réagir sur le forum
Jeu de briques
Snake
Pacman
Bubble