Vendredi 8 mars, 18h18 : Réponse de Messenger
"Il s'agit d'un problème de navigateur, et non de Messenger. Nous avons d’ores et déjà recommandé aux développeurs des navigateurs d'empêcher ce type de problème. Nous avons également mis à jour la version Web de Messenger afin d'éviter que ce problème de navigateur n’impacte Messenger. "
Article :
Un groupe de recherche sur la sécurité baptisé « Imperva » a détecté une nouvelle faille au niveau de Messenger. Ce bug qui aurait été découvert voici près d’un an permettrait à des pirates informatiques de découvrir l’identité des contacts des abonnés. Les hackers auraient ciblé le navigateur web des utilisateurs afin d’obtenir des informations sur les amis avec lesquels ils discutent ainsi que ceux qui ne figuraient pas dans la liste de contact. En novembre dernier, certains abonnés ont déjà connu des problèmes similaires en visitant un site malveillant sur Chrome.
Après la découverte du bug par Imperva, Facebook a décidé d’apporter des modifications en procédant à la randomisation des éléments iframes et des éléments HTML sujets à vulnérabilité. Par contre, les chercheurs d’Imperva ont souligné qu’il est toujours possible qu’un hacker puisse concevoir un nouvel algorithme qui permettrait d’exposer les contacts des utilisateurs. Cette situation a poussé Facebook à supprimer les iframes au niveau de Messenger. Ron Masas, un chercheur israélien du groupe Imperva a indiqué que les attaques par les canaux latéraux, basées sur un navigateur constituent encore un problème négligé. Il a également ajouté que les géants tels que Facebook et Google sont déjà conscients du problème, mais que la majorité des entreprises web ne le sont pas encore. Depuis un certain temps, Facebook a fait l’objet de critiques concernant des violations généralisées de données ainsi que sur la mauvaise gestion des données des utilisateurs comme le scandale Cambridge Analytica. De plus, ce nouveau bug arrive après que Mark Zuckerberg ait communiqué son désir de fusionner les trois plateformes : Messenger, Instagram et WhatsApp.