Une vulnérabilité affectant la version Web de Facebook Messenger peut avoir révélé l’identité des personnes avec lesquelles vous avez discuté sur cette plate-forme.
Ron Masas, chercheur à Imperva Security, a découvert la faille et l’a dénoncé en privé à Facebook. Le réseau social a déjà mis en place un correctif.
« J’ai commencé à fouiller dans l’application Web Messenger et j’ai remarqué que les éléments iFrame dominaient l’interface utilisateur », a écrit Masas dans un article publié jeudi sur son blog. « J’ai décidé d’enregistrer progressivement les données de comptage iFrame pour autant de terminaux que j’ai pu trouver, dans le but de découvrir des états intéressants et détectables. »
Il a remarqué une tendance intéressante :
« Lorsque l’utilisateur actuel n’a pas été en contact avec un utilisateur spécifique, le nombre d’iFrame atteindrait trois, puis baisserait toujours brusquement pendant quelques millisecondes », a expliqué Masas. « Cela pourrait permettre à [un attaquant] de vérifier à distance si l’utilisateur actuel a discuté avec une personne ou une entreprise spécifique, ce qui violerait la vie privée de ces utilisateurs. »
Un attaquant aurait pu exploiter le bug simplement en persuadant un utilisateur de Messenger de visiter un site malveillant, puis de le faire cliquer n’importe où sur la page, par exemple en appuyant sur la lecture d’une jolie vidéo de chat.
Pour corriger le bug, Facebook a supprimé toutes les iFrames de l’interface utilisateur de Messenger, écrit Masas.
Facebook a déclaré que ce n’était techniquement pas un bug de Messenger, le bug est un problème de navigateur lié à la façon dont ils gèrent le contenu intégré dans les pages Web, et pourrait affecter n’importe quel site, pas seulement Messenger.com », a déclaré un porte-parole de Facebook. « Nous avions déjà résolu le problème de Messenger.com l’année dernière afin de protéger nos utilisateurs et formulé des recommandations aux éditeurs de navigateur afin d’éviter ce type de problème.
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.