Un bug de Facebook Messenger permet aux autres de voir à qui vous avez parlé

Par

le

Une vulnérabilité désormais corrigée dans la version Web de Facebook Messenger permettait à tout pirate de voir avec qui vous avez parlé.

Alors que le PDG de Facebook, Mark Zuckerberg, discutait hier de la sécurisation de sa plateforme, un bug dans Facebook Messenger permettait aux pirates d’avoir accès aux données des utilisateurs, y compris avec qui ils discutaient, selon des chercheurs. L’application Android ou iOS n’est pas concernée.

Désormais corrigée par Facebook, la vulnérabilité de la version Web de Messenger permettait à n’importe quel hacker de dévoiler à qui vous envoyiez des messages, a révélé Ron Masas, chercheur à la société de cyber-sécurité Imperva, dans un article publié tard jeudi.

En novembre 2018, Masas et son équipe ont découvert un bug Facebook qui permettait aux sites Web d’extraire des données des profils des utilisateurs via une attaque de type Cross-Site Frame Leakage (CSFL). L’attaque consiste à récupérer des éléments iframe présents sur un navigateur Internet sur lequel une personne se connecte à Facebook.

Ron Masas explique que ce type d’exploitation n’était pas encore très utilisé par les hackers, mais que cela pourrait changer, étant donné que la plupart des principaux acteurs du secteur n’en sont toujours pas conscients.

Pour rappel, Facebook Messenger compte plus de 1,3 milliard d’utilisateurs dans le monde.

Zuckerberg a déclaré jeudi qu’il travaillait pour rendre Facebook plus « axé sur la confidentialité » comme WhatsApp.

La « plateforme axée sur la confidentialité » s’articulera autour de principes tels que les interactions privées, le cryptage, la réduction de la permanence, la sécurité et l’interopérabilité.

Auparavant, Facebook avait subi un contrecoup sur son processus de connexion sécurisée, l’authentification à deux facteurs (2FA), où il demandait aux utilisateurs d’ajouter des numéros de téléphone, sur lesquels les annonceurs pouvaient effectuer des recherches. La fonction de sécurité, destinée uniquement à authentifier votre identité sur la plate-forme sociale, a peut-être aussi laissé votre numéro de téléphone visible aux annonceurs pour vous bombarder de leurs publicités.


Articles recommandés