Facebook vient de corriger une faille peu banale dans les versions web (messenger.com) et Android de sa messagerie instantanée Messenger. Elle permettait à un utilisateur peu scrupuleux de modifier à volonté un message qu’il avait déjà envoyé. Ce bug reposait sur une mauvaise gestion des codes identifiants des messages. Les chercheurs en sécurité de Check Point, qui ont découvert cette faille, ont réalisé une vidéo qui montre une exploitation malicieuse de cette faille. Elle montre comment le message initial est remplacé successivement par différents textes, puis par des liens de téléchargements frauduleux.
L’impact lié à cette vulnérabilité pouvait être « grave » (« severe issue »), estime Check Point dans une note de blog. Le pirate pouvait, par exemple, « modifier la conversation et falsifier un accord avec la victime, changer ou dissimuler des informations importantes qui pourraient avoir des répercussions judiciaires, changer un lien classique en lien malveillant et persuader l’utilisateur de l’ouvrir ». Mazette.
Des interprétations divergentes
Pour Facebook, en revanche, cette faille n’était pas si grave que cela. Le réseau social la considère même comme étant à « faible risque » (« low risk »). La conversation était tout d’abord correctement reproduite sur les autres plateformes, notamment iOS. Un utilisateur qui disposait d’un second canal pouvait donc s’apercevoir du subterfuge. Par ailleurs, comme la version originale de conversation existait toujours dans les serveurs de Facebook, les modifications du pirate n’étaient pas permanentes. « Le contenu était corrigé sur Android quand l’application rechargeait les données des messages depuis le serveur », souligne Facebook dans une note de blog.
Par ailleurs, Facebook explique que cette faille ne permettait pas de faire des attaques de phishing et de distribuer des malwares, car les messages modifiés passaient, eux aussi, au travers de ses filtres anti-malware et anti-spam. Bizarrement, cela s’accorde mal avec la vidéo de Check Point qui montre bien des liens de téléchargement vers des exécutables malveillants (ransomware.apk). Les filtres de Facebook ne sont peut-être pas si efficaces que cela…
Sources:
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
