Itremma Affaires Web

Facebook impose la sécurité

La sécurité et la protection de la vie privée sont souvent au coeur des dicussions quand on parle de Facebook. M. Zuckerberg est bien au fait de cela et c’est pourquoi lui et son équipe on fait un pas de plus vers un environnement sécurisé. En Mai 2011, Facebook annonçait quelques nouvelles restrictions pour les applications tierces. En effet, depuis le 1er octobre, l’authentification par OAuth 2.0 et le certificat SSL étaient requis pour toutes les applications intéragissant avec les ressources de Facebook. Si l’adaptation peut sembler coûteuse en temps et argent pour certaines entreprises, il n’en demeure pas moins que cela a été pensé dans le but précis de sécuriser au maximum la plateforme et de protéger les informations de chaque utilisateur. Passons maintenant à l’explication.

En termes plus vulgaires, OAuth est un système d’authentification qui peut fonctionner sans intervention humaine. Le concept est en soit assez simple. Le client (une application X) se présente au serveur Y et demande les droits d’accès aux ressources d’un utilisateur U. Le serveur Y vérifie s’il connait X et vérifie si ce dernier a bel et bien droit d’accès aux ressources de U. Dans le cas échéant, Y retournera un code/jeton d’accès au client X et une session sera créée entre X et Y. Le client X peut ensuite utiliser son jeton pour avoir accès à diverses informations de U tant et aussi longtemps que la session sera valide. Depuis le 1er octobre, les applications tierces sont donc forcées d’utiliser ce protocole standardisé afin d’accéder aux ressources de Facebook et de ses utilisateurs. Ce changement ne pose pas un réel problème puisque Facebook offre l’identification par OAuth 2.0 depuis un bon moment déjà. Si vos applications ont plus d’un an ou ont été construites sous un autre système d’identification, vous pouvez retrouver plus d’information  dans la documentation Facebook.

Depuis le 1er octobre, les clients X (applications) de ce monde devaient tous fournir un certificat SSL (secure sockets layer) pour intéragir avec Facebook. Autrement dit, une application X avec une adresse http://www.monsite.com/application devra maintenant fournir une adresse HTTPS comme suit https://www.monsite.com/application et communiquer avec le serveur Facebook au moyen du protocole HTTPS. Facebook offrait déjà à ses utilisateurs une option pour naviguer sur le site au moyen d’un certificat SSL. Toutefois, pour qu’une page Web dite sécurisée  soit réellement considérée comme telle, toutes les ressources externes et internes à l’intérieur de celle-ci doivent aussi être sécurisées, d’où l’obligation pour les applications facebook d’offrir une version sécurisée. En plus de cela, le certificat SSL  permet d’encrypter les informations lorsqu’elles sont transportées du client X à Y ou vice versa. Il va sans dire que le coût en vaut la chandelle pour la sécurité des informations.

Il s’agit maintenant de vérifier si vos applications fonctionnent toujours normalement. Au moment d’écrire ces lignes, Facebook ne semble toujours pas avoir appliqué les nouvelles règles mais ça ne saurait tarder puisqu’ils sont déjà en retard.

En ce qui concerne Itremma, vous pouvez déjà accéder à notre site au moyen du HTTPS (https://www.itremma.com). Nos applications et celles de nos clients ont déjà été mises à jour pour respecter les nouvelles normes. Nous vous invitons donc à vous mettre à niveau !

Un article de .