Accueil » Actualité » Votre navigateur permettait aux pirates de savoir avec qui vous parliez sur Facebook Messenger

Votre navigateur permettait aux pirates de savoir avec qui vous parliez sur Facebook Messenger

Image 1 : Votre navigateur permettait aux pirates de savoir avec qui vous parliez sur Facebook Messenger

La découverte de la faille remonte à un an maintenant. Les chercheurs d’Impreva ont souligné que les pirates pouvaient identifier les interlocuteurs des utilisateurs de Messenger « à partir de n’importe quel site web. » Informée du problème, Facebook a trouvé une solution efficace.

Facebook a supprimé les iFrames

Les hackers ciblaient le navigateur et exploitaient les iFrames pour connaître le nom des contacts. Concrètement, les membres sont vulnérables lorsqu’ils visitent un site malicieux tout en étant connectés sur Facebook. Les pirates pourraient alors ouvrir un nouvel onglet avant d’extraire des données personnelles.

>>> Facebook vous piste toujours, même si vous n’avez pas de compte

La firme de Menlo Park avait essayé de corriger le problème en ajoutant de l’aléatoire aux éléments iFrame. Les chercheurs d’Impreva ont constaté que les pirates pouvaient toujours concevoir un algorithme et exposer les contacts des membres. Facebook a alors pris une décision radicale en supprimant les iFrame de Messenger.

Par ailleurs, les responsables de la compagnie ont souligné que le souci provenait de la façon dont les navigateurs gèrent le contenu des pages Web. En ce sens, Facebook déclare qu’il  « s’agit d’un problème de navigateur, et non de Messenger. Nous avons d’ores et déjà recommandé aux développeurs des navigateurs d’empêcher ce type de problème. Nous avons également mis à jour la version Web de Messenger afin d’éviter que ce problème de navigateur n’impacte Messenger. »

Ron Masas, un chercheur chez Impreva, attire l’attention des internautes sur les attaques exploitant la vulnérabilité des navigateurs. Les grands acteurs comme Facebook et Google ont déjà pris les mesures nécessaires. En revanche, beaucoup de sites ignorent encore l’existence des risques. Ron Masas estime que cette technique pourrait se populariser cette année, car elle ne laissait aucune trace.