En gros, pour vous la faire simple, en forgeant une URL malicieuse, un vilain pirate peut lier son compte Facebook au vôtre, via le Facebook Login d'un site tiers et ensuite voir la main sur votre profil Facebook (Changer le mot de passe, l'email, lire les messages privés...Etc.).

Cette faille est connue depuis 1 an et Sakurity a depuis longtemps prévenu Facebook qui n'a strictement rien fait pour la corriger, car ils expliquent que ce sont aux développeurs des sites tiers de faire en sorte que ça n'arrive pas en respectant les meilleurs pratiques de FB et en utilisant le paramètre "state" du login Auth. Du coup, Sakurity est monté d'un cran et propose un outil baptisé Reconnect ainsi qu'un tuto pour permettre à tous les affreux qui veulent aller en prison de choper les accès Facebook d'innocentes victimes. C'est moche, c'est à la limite de la prise d'otage, mais espérons que ça fasse rapidement réagir Facebook et les sites tiers.

La version je veux rien faire tout est déja prêt: https://onion.cab/noTor.php?url=aHR0cDovL3Nha3VyaXR5LmNvbS9yZWNvbm5lY3Q=

envoyer le lien générer a votre victime si elle clique, elle lie son compte Facebook avec votre "fake appli" c'est gagné !

Seul moyen de se protéger ne pas être con et arrêter de cliquer partout !