La société israélienne de cybersécurité Imperva a annoncé avoir découvert qu’une nouvelle faille de la messagerie Facebook Messenger permettait à des hackers d’avoir accès à la liste de tous les contacts d’un utilisateur et ce, par l’intermédiaire de « n’importe quel site web ».......Détails........
Les pirates seraient donc en mesure de cibler le navigateur d’un internaute et d’y exploiter des éléments Iframe HTML, afin d’avoir accès aux contacts et à la liste des conversations d’un usager Messenger.
À noter qu’à priori la consultation des messages ne semble pas concernée.Tout comme une autre vulnérabilité mise en lumière au mois de novembre dernier, les usagers Messenger tomberaient donc dans la faille après avoir visité un site web malveillant via le navigateur Chrome, pendant que leur session Facebook est parallèlement restée ouverte.
Le piratage des données personnelles et l’exécution de requêtes seraient donc effectués au travers d’un nouvel onglet Facebook.
La faille de Messenger donne accès aux contacts et aux conversationsphoto illustration nouvelle faille de Messenger qui donne accès aux contacts et conversations.
Alors que Zuckerbeg a déclaré dans un premier temps avoir réglé le problème en corrigeant des éléments Html vulnérables et que les chercheurs d’Imperva ont par la suite souligné que la faille était toujours d’actualité, Facebook a finalement décidé de supprimer tous les éléments Iframe.
« Nous apprécions que les chercheurs à l’origine de cette découverte aient pu nous avertir de ce bug, mais nous tenons à souligner que le problème exposé dans ce rapport est dû à la façon dont les navigateurs internet gèrent le contenu des pages Web et qu’il n’est, de ce fait, pas spécifique à Facebook » ont déclaré les responsables du réseau social.
« Si cette faille est encore assez confidentielle, elle pourrait se multiplier au cours de cette année ».
Après cette découverte, la société Imperva, par l’intermédiaire d’un de ses chercheurs, a tenu à mettre en garde sur ce nouveau type de piratage qui est, à ses yeux, encore trop pris à la légère : « Même si les géants du web comme Facebook ou Google commencent à combler leur retard, les majorité des autres acteurs du secteur n’ont pas encore pris conscience du problème et restent vulnérables (…) La mesure de ce type d’attaques basées sur les navigateurs et passant par des canaux latéraux est encore négligée ».
Si cette faille est encore assez confidentielle, elle pourrait pourtant se multiplier au cours de cette année du fait qu’elle ne laisse généralement pas de trace, a également ajouté l’ingénieur israélien Ron Masas.
Vous nous aimez, prouvez-le....