Scandale au pays de Facebook ! D’après Symantec, des milliers d’applications (iframe) Facebook (qui utilisent encore l’ancienne API et qui ne sont pas encore passé au protocole d’authentification OAuth 2.0), auraient diffusé pendant des années à des tiers (annonceurs, outils de stats …etc), les tokens (jetons), c’est à dire les clés d’accès aux comptes Facebook, des gens ayant installé ces applications. Cela signifie que ces tiers auraient très bien pu exploiter ces tokens et écrire des messages sur le mur des gens, ou consulter librement leurs profils, leurs photos ou leurs messages. Cette faille était présente depuis des années, et selon Symantec, rien que depuis avril de cette année, c’est 100 000 applications qui sont concernées.
Je n’ai malheureusement pas plus de détails techniques donc ça reste un peu obscur (notamment sur la durée de validité de ces tokens), mais Facebook a confirmé et expliqué qu’il n’y avait aucune preuve que ces tiers avaient effectivement exploités ces tokens.
Quoiqu’il en soit, si vous avez remarqué des mouvements suspects sur votre compte, Symantec recommande vivement de changer votre mot de passe pour éviter les ennuis !
Vous savez ce qu’il vous reste à faire.
Merci à Wecho pour l’info
[Source]