•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Des pirates pouvaient savoir à qui vous parliez sur Messenger

Vue en plongée sur l'écran d'un cellulaire utilisée par une femme qui montre une application de messagerie.
Facebook a modifié la structure même de Messenger pour corriger cette faille. Photo: Getty Images
Radio-Canada

Une faille de Messenger permettant de découvrir avec qui un utilisateur avait déjà communiqué a récemment été éliminée par Facebook, rapporte la firme de cybersécurité qui l'a découverte.

En exploitant cette vulnérabilité, un pirate pouvait cibler un utilisateur et déterminer si une personne faisait partie de ses contacts ou non. D’après Imperva, le cabinet qui a mis au jour ce bogue, les attaquants ne pouvaient pas découvrir d’autres informations ni lire les conversations.

En novembre dernier, Imperva avait toutefois découvert une faille plus importante, basée sur le même genre de vulnérabilité, dans l’architecture de Messenger. Cette faille permettait à des pirates de déduire des informations personnelles sur les utilisateurs de Facebook.

L’existence de ces deux bogues similaires a convaincu Facebook de revoir le fonctionnement de Messenger pour éliminer complètement le système en cause.

Un type d'attaque amené à se multiplier

Les attaques exploitant ce genre de failles se nomment attaques par canal auxiliaire. Elles permettent de poser une « question » à un système et d’obtenir une réponse binaire (vrai ou faux). Un attaquant ne peut donc pas récolter une grande quantité de données d’un seul coup, mais il peut cibler une personne et, avec suffisamment de patience, tracer un portrait précis de celle-ci.

Ron Masas, un chercheur en cybersécurité d’Imperva, estime que les attaques par canal auxiliaire dans un fureteur sont négligées par les spécialistes. Selon lui, le nombre d’attaques de ce genre est appelé à croître en 2019, puisque celles-ci ne laissent généralement pas de traces.

Avec les informations de CNet

Cybersécurité

Techno