L’équipe de la société de sécurité Imperva a découvert une faille qui permettait à des pirates de savoir avec qui un utilisateur était en train de discuter sur Messenger. Facebook précise que la faille était liée au navigateur, et non à son service de messagerie.
Nouvelle découverte importante pour les chercheurs de la société de sécurité Imperva concernant Facebook. Quelques mois après avoir révélé l’existence d’une faille sur le réseau social qui permettait de mettre la main sur des données personnelles, l’équipe d’Imperva a découvert une brèche liée à Messenger. Cette faille de sécurité concernait uniquement la version Web de la messagerie de Facebook et permettait à un hacker de savoir avec qui les utilisateurs étaient en train de discuter. Il fallait pour cela que les utilisateurs utilisent Chrome – le navigateur le plus utilisé au monde – et que le pirate leur fasse visiter un site malveillant puis cliquer sur un élément, comme une vidéo. Ron Masas, chercheur chez Imperva, détaille la technique sur le site de sa société et précise que la faille pouvait ainsi « permettre de vérifier à distance si l’utilisateur avait discuté avec une personne ou une entreprise en particulier ».
Facebook met hors de cause Messenger, « il s’agit d’un problème de navigateur »
Le chercheur explique avoir « ressenti le besoin de comprendre le fonctionnement » d’un service qu’il a l’habitude d’utiliser et précise avoir rapidement signalé la vulnérabilité à Facebook. Le réseau social a d’abord réagi en « atténuant le problème », mais l’équipe de chercheurs est parvenue à s’adapter et à contourner les protections mises en place par le géant américain. Facebook a finalement décidé « de supprimer complètement tous les iframes de l’interface utilisateur de Messenger » pour empêcher l’exploitation de cette faille. La firme de Palo Alto a également réagi et rappelle que la faille de sécurité ne dépend pas de son service, mais des navigateurs internet. « Il s’agit d’un problème de navigateur, et non de Messenger. Nous avons d’ores et déjà recommandé aux développeurs des navigateurs d’empêcher ce type de problème. Nous avons également mis à jour la version Web de Messenger afin d’éviter que ce problème de navigateur n’impacte Messenger », explique Facebook.
Après les nombreux scandales qui ont secoué Facebook ces derniers mois, le plus grand réseau social du monde avait tout intérêt à réagir très rapidement face à ce « bug » qui présentait un risque d’une atteinte à la vie privée de ses utilisateurs. Cette annonce intervient alors que Mark Zuckerberg envisage d’unifier ses messageries WhatsApp, Messenger et Instagram, en mettant l’accent sur la sécurité et la confidentialité avec des communications chiffrées de bout en bout. Néanmoins, Ron Masas précise que le chiffrement n’aurait pas empêché d’exploiter cette faille, mais le chercheur souligne les efforts de géants comme Facebook pour améliorer la sécurité. « Les attaques par navigateur sont encore un sujet négligé, alors que les grands acteurs comme Facebook et Google rattrapent leur retard, la plupart de l’industrie n’en est pas encore consciente », conclut-il.
