Un bug permettait de savoir avec qui les utilisateurs discutaient — Facebook Messenger

Alain Brian
Mars 13, 2019

Une société américaine de cybersécurité, Imperva, a en effet révélé la semaine dernière l'existence d'un bug permettant d'espionner l'identité des interlocuteurs d'un utilisateur de Messenger.

Ron Masas, chercheur à Imperva Security, a découvert la faille et l'a dénoncé en privé à Facebook.

Le rapport des chercheurs d'Imperva a fait état d'une grande faille ouverte pour une attaque de type Cross-Site Frame Leakage.

Un attaquant aurait pu exploiter le bug simplement en persuadant un utilisateur de Messenger de visiter un site malveillant, puis de le faire cliquer n'importe où sur la page, par exemple en appuyant sur la lecture d'une jolie vidéo de chat. Cela permettait ensuite aux hackers de récupérer certaines informations, notamment les contacts de la victime sur Messenger. Toutefois, ils ne pouvaient pas récolter le contenu des conversions ou d'éventuels fichiers partagés entre utilisateurs. De son côté, Facebook minimise les faits et a déclaré avoir corrigé le bogue dès le mois de décembre 2018.

Facebook a d'abord tenté de corriger la faille de sécurité en affichant des éléments aléatoires au niveau des iframes à chaque fois, mais Imperva a réussi à contourner les protections. En novembre dernier, elle avait mis à jour une autre faille impactant Facebook. Avec celle-ci, il était possible de collecter les informations de l'utilisateur et de ses amis.

" Le problème détaillé dans le rapport vient de la façon dont les navigateurs traitent le contenu intégré dans les pages Web et n'est pas spécifique à Facebook " indique la firme de Mark Zuckerberg dans les colonnes de The Verge, pour se dédouaner. Nous avons fait des recommandations aux éditeurs de navigateurs et aux groupes de normalisation Web pour les inciter à prendre des mesures afin d'éviter que ce type de problème ne se propage dans d'autres applications Web, a déclaré un porte-parole du réseau social.

D'autres rapports CampDesrEcrues

Discuter de cet article

SUIVRE NOTRE JOURNAL