Facebook Messenger présentait une faille qui permettait aux attaquants potentiels de voir avec qui vous aviez eu une conversation.
James Martin
Facebook fait un grand pas en avant vers les messages privés, mais cela n’est pas à l’abri des failles de sécurité.
Imperva, une société de cybersécurité, a détaillé jeudi une faille de Facebook Messenger qui permettait à des attaquants potentiels d’apprendre à qui vous parliez sur le service de chat.
Le bogue de sécurité ne montrait pas le contenu des messages, mais le simple fait de savoir avec qui vous étiez en contact pourrait nuire à votre vie privée, a déclaré Ron Masas, le chercheur en sécurité qui a découvert la vulnérabilité.
"Il pourrait être envoyé à des cibles de premier plan pour déterminer avec qui ils ont eu une conversation", a déclaré Masas. "Si vous envoyiez un message à un bot pour commander des pizzas, je le saurais."
Facebook a corrigé le bug en décembre. La société n'a pas répondu à une demande de commentaire.
Masas avait également détaillé un bogue similaire sur Facebook en novembre, où les voleurs de données pouvaient voir les messages privés que vous avez aimés et ce que vos amis ont aimé.
Le bogue a fonctionné en analysant iFrames, un code utilisé pour incorporer du contenu comme des vidéos YouTube sur des pages. Dans votre navigateur, Messenger a chargé un nombre spécifique d'iFrames pour les personnes avec lesquelles vous avez eu une conversation et les personnes avec lesquelles vous n'avez jamais parlé, a déclaré Masas.
Le chercheur en sécurité a mis au point un outil permettant de consigner le nombre de cadres iFrames chargés. Grâce à ces données, il peut déterminer avec qui une personne a été en contact.
Pour que l'attaque fonctionne, la victime doit cliquer sur un lien menant à l'outil de Masas. Dans sa démonstration de principe, il a défini le lien de trappe comme une vidéo, de sorte que les victimes sans méfiance soient distraites pendant que ces données sont siphonnées.
Ainsi, dans un onglet, l'outil d'espionnage recueillait des données sur les iFrames de la page Facebook du destinataire sur un autre onglet.
"L'onglet d'origine peut demander au navigateur combien d'iFrames un autre onglet a", a déclaré Masas. "Il recherche ce modèle qui indique si vous avez eu une conversation avec une personne ou non."
Ce modèle était une baisse spécifique dans iFrames si vous n'avez jamais parlé à quelqu'un sur Messenger.
La ligne bleue indique que vous n'avez jamais parlé à quelqu'un sur Facebook Messenger. La ligne rouge signifie que vous l'avez fait. Ce pic dans la charge iFrames indique la différence.
Imperva
Lorsque Masas a signalé pour la première fois la faille à Facebook le 29 novembre, le réseau social a tenté de la réparer en randomisant le nombre de cadres iFrames, a-t-il déclaré. Mais même si le nombre spécifique de cadres iFrames a été supprimé, cette baisse dans le modèle existait toujours, a déclaré Masas.
Facebook a finalement résolu le problème en supprimant complètement les iFrames de Messenger.
La vulnérabilité de la sécurité avec Facebook Messenger survient un jour après que Mark Zuckerberg a annoncé ses plans pour l'avenir du réseau social. Le PDG a déclaré que Facebook s'orientait vers une plate-forme axée sur la confidentialité, mettant l'accent sur la messagerie cryptée.
Mais avec le bogue découvert par Masas, le cryptage n'aurait pas arrêté la faille, a déclaré le chercheur.
C'est parce qu'il recherchait des iFrames, fournis par votre navigateur – et non par Facebook.
"Ces données ont été divulguées du côté client. En termes de cryptage, cela n’aura pas vraiment d’incidence," a-t-il déclaré.
