Facebook Messenger : des conversations pas si privées…
Après avoir corrigé une importante vulnérabilité dans Messenger en juin, Facebook a semble-t-il récemment colmaté une faille dans son service de messagerie. Il semblerait effectivement qu’une vulnérabilité critique permettait à des hackers de pouvoir assez simplement lire les conversations privées de plusieurs millions d’utilisateurs de Facebook Messenger.
Une vulnérabilité critique découverte dans Facebook Messenger !
Ces dernières semaines, un chercheur en sécurité informatique chez BugSec et Cynet, Ysrael Gurt, a découvert une faille critique dans Facebook Messenger. Son exploitation par des pirates permettait effectivement de surveiller les conservations privées des utilisateurs du service mais aussi les photos et pièces jointes transmises par ce biais.
Or, l’exploitation était très simple à mettre en œuvre puisque les hackers n’avaient qu’à faire cliquer leur victime sur un lien menant vers un site malveillant soit un jeu d’enfant. Dès lors que le clic était exécuté, l’attaquant avait accès à l’ensemble des conversations privées de la victime et ce qu’elle utilise le chat web ou l’application mobile.
Cette faille, baptisée « Originull » était liée au fait que les chats Facebook sont gérés ailleurs que sur le domaine réel www.facebook.com puisque c’est l’implémentation d’un fichier mal configuré qui pouvait permettre à des hackers de contourner les vérifications d’origine pour accéder aux discussions d’autres utilisateurs.
Une preuve de l’intérêt des programmes bug bounty pour les entreprises
A la différence de nombreuses failles qui prennent parfois plusieurs mois pour être colmatées, « Originull » a très rapidement été corrigée. Il faut dire que dès sa découverte, Ysrael Gurt en a fait part à l’entreprise californienne dans le cadre de son programme de bug bounty, les équipes du géant américain ayant ensuite fait parler leur réactivité pour intervenir.
Au final, l’impact de cette faille pourtant critique a été des plus réduits ce qui tend à prouver l’efficacité des programmes de bug bounty.
Pour être complet, il est bon de noter que « Secret conversations », la fonctionnalité de chat chiffré de bout en bout n’a pas été altérée par cette faille Facebook Messenger.
