L'authentification unique (en anglais Single Sign-On : SSO) est une méthode permettant à un utilisateur d'accéder à plusieurs applications informatiques (ou sites web sécurisés) en ne procédant qu'à une seule authentification. (Généralement Facebook, Google, LinkedIn ou Twitter) pour se connecter à des sites Web. SSO est conçu pour simplifier les choses tant pour les utilisateurs que pour les sites Web. Plutôt que d'avoir à créer et à mémoriser un mot de passe pour des centaines, voire des milliers de sites, les utilisateurs peuvent se connecter à l'aide des informations d'identification d'un site unique.
Les chercheurs du service de gestion de mot de passe Myki ontrécemment découvert un site censé offrir l'authentification unique à partir de Facebook. Comme le montre la vidéo ci-dessous, la fenêtre de connexion semblait presque identique à la véritable authentification unique de Facebook. Cependant, ne fonctionnait pas sur l'API Facebook et n'interférait en aucune manière avec le réseau social.
Lorsqu'un utilisateur visite le site Web malveillant, il est invité à se connecter avec un compte social (Facebook dans ce cas). Lors de la sélection d'une méthode de connexion, l’application fausse de connexion rentre en jeux. L'utilisateur peut interagir avec elle, la faire glisser et la supprimer de la manière la plus normale.
Si vous remplissez les champs nom d'utilisateur et mot de passe, les informations d'identification de l'utilisateur seront envoyées à l'attaquant.
Le seul moyen de vous protéger de ce type d’attaque est d’essayer de faire glisser l’invite en dehors de la fenêtre dans laquelle elle est actuellement affichée. Si le glissement en dehors échoue (une partie de la fenêtre disparaît au-delà du bord), c’est un problème. Signe définitif que le popup est faux.
Facebook a plus de conseils pour lutter contre le phishing(Hameçonnage) ici
COMMENTS