Facebook Messenger: un bug permettait de savoir avec qui les utilisateurs discutaient

Facebook Messenger un bug permettait de savoir avec qui les utilisateurs discutaient

Stephen Lam REUTERSPlus

Cette nouvelle faille de sécurité détectée dans Facebook Messenger permettait à un pirate de savoir avec qui un utilisateur de la messagerie discutait en privé. Vers la fin d'année 2018, il était possible pour un hacker de prendre la liste des personnes avec qui vous parliez sur le réseau social. Les applications pour Android et iOS, les systèmes d'exploitation mobile de Google et Apple, ne sont donc pas concernées. Imperva a cependant confirmé que ce bug ne permettait pas de récupérer l'ensemble des conversations ou encore des fichiers échangés entre utilisateurs.

Facebook a bouché une faille de sécurité découverte par le groupe Imperva qui permettait de mettre la main sur la liste des contacts d'une personne sur Messenger. La faille a été révélée par les chercheurs d'Imperva, une entreprise spécialisée dans la cybersécurité.

Plus précisément, la faille de sécurité se situait dans les éléments iframe (nom donné à un code utilisé pour intégrer du contenu sur des pages Web) présents sur Messenger.

Selon leur rapport, la faille était grande ouverte pour une attaque de type Cross-Site Frame Leakage, permettant aux hackers d'exploiter les éléments iframe de Messenger. Dans le cas de Messenger, la méthode était la suivante: les pirates envoyaient un lien vers un site malveillant à un utilisateur de Messenger, les incitant ensuite à cliquer sur un élément, comme une photo ou une vidéo. Nous apprécions que les chercheurs à l'origine de cette découverte aient pu nous avertir de ce bug, mais nous tenons à souligner que le problème exposé dans ce rapport est dû à la façon dont les navigateurs internet gèrent le contenu des pages Web et qu'il n'est, de ce fait, pas spécifique à Facebook " ont déclaré les responsables du réseau social. "Nous avons par ailleurs mis à jour la version Web de Messenger pour nous assurer que ce problème ne se produise pas sur notre service".

Dernières nouvelles