Facebook : Une faille de sécurité sur Messenger aurait pu permettre d’espionner des utilisateurs

Spread the love
  • Yum

Facebook : Une faille de sécurité sur Messenger aurait pu permettre d'espionner des utilisateurs

Facebook a corrigé aujourd’hui une faille de sécurité majeure dans son application Messenger pour Android. Elle aurait pu permettre à des attaquants d’émettre des appels audio Messenger, ou de s’y connecter, à l’insu de l’appelé ou sans interaction.

La vulnérabilité, qui aurait pu être utilisée abusivement pour espionner les utilisateurs de Facebook via leurs téléphones Android, a été découverte lors d’un audit de sécurité effectué par Natalie Silvanovich, une chercheuse travaillant pour l’équipe de sécurité du Projet Zéro de Google.

publicité

Un appel caché pour espionner

Dans un rapport de vulnérabilité rendu public ce jeudi, la chercheuse explique que la faille de sécurité résidait dans le protocole WebRTC que l’application Messenger utilise pour supporter les appels audio et vidéo.

Plus précisément, le problème se logeait dans le protocole de description de session (SDP), qui fait partie du WebRTC. Ce protocole gère les données de session pour les connexions WebRTC, et Natalie Silvanovich a découvert qu’un message SDP pouvait être utilisé abusivement pour approuver automatiquement les connexions WebRTC sans interaction de l’utilisateur.

« Il y a un type de message qui n’est pas utilisé pour l’établissement de l’appel, SdpUpdate », détaille-t-elle. « Si ce message est envoyé à l’appareil de l’appelé pendant qu’il sonne, l’audio commencera à être transmis immédiatement, et l’attaquant pourrait dès lors commencer à espionner l’environnement de l’appelé. »

L’exploitation de la faille de sécurité ne prend que quelques secondes, selon le rapport de vulnérabilité de Natalie Silvanovich.

Un bug bounty pour la bonne cause

La chercheuse a signalé le problème à Facebook le mois dernier, et le géant des médias sociaux l’a corrigé ce jeudi par le biais d’une mise à jour de l’application Messenger pour Android.

« Ce rapport fait partie des trois bug bounty les plus élevés, avec 60 000 dollars, ce qui reflète son potentiel impact maximum », souligne Facebook.

Sur Twitter, Natalie Silvanovich précise que Facebook lui a attribué une prime de 60 000 dollars pour avoir signalé le problème, et qu’elle a choisi de donner ce montant à GiveWell, une organisation à but non lucratif qui coordonne des activités caritatives.

Une spécialiste des messageries instantanées

Au cours des années précédentes, Natalie Silvanovich a déjà constaté et signalé des problèmes similaires dans d’autres applications de messagerie instantanée, qui font partie de ses domaines d’expertise.

En octobre 2018, la chercheuse a trouvé une faille de sécurité dans WhatsApp pour Android et iOS qui aurait permis à des attaquants de prendre le contrôle de l’application après qu’un utilisateur ait répondu à un appel vidéo.

En juillet 2019, elle a également signalé quatre vulnérabilités sans interaction dans l’application iMessage sur iOS. Le même mois, elle a également découvert une cinquième failles de sécurité, toujours sur iMessage, qui aurait pu être utilisée pour infiltrer des iPhone.

Source : ZDNet.com

Leave a Reply

%d bloggers like this: