Facebook Messenger: Une nouvelle faille permettait de connaître vos interlocuteurs

Share

Vers la fin d'année 2018, il était possible pour un hacker de prendre la liste des personnes avec qui vous parliez sur le réseau social.

Alors que le PDG de Facebook, Mark Zuckerberg, discutait hier de la sécurisation de sa plateforme, un bug dans Facebook Messenger permettait aux pirates d'avoir accès aux données des utilisateurs, y compris avec qui ils discutaient, selon des chercheurs.

Facebook a bouché une faille de sécurité découverte par le groupe Imperva qui permettait de mettre la main sur la liste des contacts d'une personne sur Messenger. Toutefois, ils ne pouvaient pas récolter le contenu des conversions ou d'éventuels fichiers partagés entre utilisateurs. Les applications pour Android et iOS, les systèmes d'exploitation mobile de Google et Apple, ne sont donc pas concernées. Elle a été mise au tapis par une entreprise spécialisée dans la cybersécurité, Imperva, relate journaldugeek.com.

Les hackers ciblaient le navigateur et exploitaient les iFrames pour connaître le nom des contacts. La même équipe d'Imperva avait dévoilé peu après une autre vulnérabilité qui permettait potentiellement à des hackers d'exploiter des éléments des iFrame pour savoir avec qui les utilisateurs étaient en train de discuter. Dans le cas de Messenger, la méthode était la suivante: les pirates envoyaient un lien vers un site malveillant à un utilisateur de Messenger, les incitant ensuite à cliquer sur un élément, comme une photo ou une vidéo. "La vulnérabilité détaillée dans ce rapport ne provient pas de Facebook, mais de la façon dont les navigateurs gèrent les contenus intégrés dans les pages Web".

"Alors que Zuckerbeg a déclaré dans un premier temps avoir réglé le problème en corrigeant des éléments Html vulnérables et que les chercheurs d'Imperva ont par la suite souligné que la faille était toujours d'actualité, Facebook a finalement décidé de supprimer tous les éléments Iframe".

Share