Facebook Messenger : un bug permettait de voir avec qui vous discutiez
Les conversations que vous pouvez avoir sur les plateformes de messagerie instantanée sont privées, jusqu'à un certain point tout du moins. Excepté en cas de faille de sécurité...
Tout le monde apprécierait que ses conversations avec les autres restent privées, réellement privées. C’est pour cette raison que les applications de messagerie instantanée introduisent aujourd’hui un chiffrement de bout en bout, pour empêcher les messages d’être interceptés et lus par des yeux indésirables. Malheureusement pour Facebook Messenger, un bug permettait à une tierce personne de voir avec qui vous discutiez.
Une faille pour savoir avec qui vous discutiez sur Facebook Messenger
Des chercheurs de Imperva rapportent l’existence d’une faille dans la version web de Facebook Messenger qui laisse exposer les personnes avec qui vous discutez. La vulnérabilité en question repose sur une attaque de type Cross-Site Frame Leakage où il “suffit” d’exploiter les éléments de l’iframe de la version web de Messenger.
L’explication fournie par les experts est très technique mais avec cette faille, il était possible, en théorie, qu’un autre site espionne vos conversations. La bonne nouvelle, c’est que le problème a semble-t-il été corrigé. “Après avoir signalé cette vulnérabilité à Facebook dans le cadre de leur programme dédié, Facebook a corrigé le problème en générant des éléments aléatoires dans ces iframes, ce qui comblait de fait la faille. Cependant, après d’autres recherches, je suis parvenu à adapter mon algorithme et à distinguer les deux états. J’ai partagé mes découvertes avec Facebook qui a décidé de supprimer totalement les iframes de l’interface utilisateur Messenger.”
La faille est désormais corrigée
Difficile de savoir si qui que ce soit a déjà pu être affecté par cette faille de sécurité avant qu’elle ne soit corrigée. Une bonne chose que ce soit fait, en tout cas.