Une faille de sécurité qui permet d’espionner les utilisateurs des services de messagerie
Facebook Messenger, Signal, Google Duo, Mocha ou JioChat… sont un ensemble de service de messagerie qui sont touchés par des failles de sécurité jugées critiques par les experts de Google.
Les experts de Google dont nous faisons allusion ici sont ceux du fameux Project Zéro, les spécialistes de la recherche de failles et de bugs du géant américain qui ont plusieurs fois fait leurs preuves.
Parlons plutôt une chercheuse du groupe, écrit Natalie Silvanovich. Elle a découvert récemment lors d’une étude réalisée sur plusieurs plateformes d’échanges, que des vulnérabilités pouvant être jugées assez graves, touchent des messageries assez célèbres. « J’ai trouvé des bugs qui permettent de transmettre l’audio et la vidéo sans le consentement de l’utilisateur sur cinq applications mobiles, dont Signal, Google Duo et Facebook Messenger » publie cette dernière sur Twitter.
Cet article va aussi vous intéresser : Comment pirater un compte Facebook ?
Selon les explications de la chercheuse de Google, ces vulnérabilités puisent leurs sources dans une autre faille de sécurité découverte depuis 2019, le bug de FaceTime Video. Une faille qui a permis à un pirate informatique de pouvoir espionner des utilisateurs d’iPhone à leur insu. Sans oublier qu’il avait aussi la possibilité de s’ajouter lors d’une conversation de groupe en passant par le menu des options. En d’autres termes une vulnérabilité assez grave.
« I found logic bugs that allow audio or video to be transmitted without user consent in five mobile applications including Signal, Duo and Facebook Messenger » publie t-elle sur son compte Twitter le 19 janvier 2021. En français ça donne : « J’ai trouvé des bogues de logique qui permettent de transmettre de l’audio ou de la vidéo sans le consentement de l’utilisateur dans cinq applications mobiles dont Signal, Duo et Facebook Messenger ».
Alors la problématique qui est posée ici était de savoir si la faille de sécurité FaceTime Video s’était étendue sur d’autres appareils. En se posant cette question la chercheuse du Project Zéro a alors entrepris de mener une recherche beaucoup plus approfondi sur les différentes applications de messageries sont Signal, Mocha, JioChat, Facebook Messenger et Google Duo. Elle a découvert des vulnérabilités très intéressantes.
– Facebook Messenger : sur cette appli, le pirate informatique avait la possibilité non seulement se connecter à l’application, mais aussi de lancer de manière simultanée un appel tout en envoyant un message corrompu. Ce dernier pouvait aussi recevoir des audios via l’application.
– Signal : grâce à la vulnérabilité sur cette application, il est impossible pour le cybercriminel de pouvoir entendre tout ce qui se passait dans l’environnement de destinataire de message.
– Google Duo : « Une situation de compétition entre la désactivation de la vidéo et la mise en place de la connexion, qui dans certaines situations, peut entraîner la fuite de paquets vidéo après plusieurs appels sans réponse » comme l’explique Natalie Silvanovich
La chercheuse explique par ailleurs que ces failles de sécurité ont déjà été corrigées. Les utilisateurs sont encouragés à appliquer la mise à jour de correction.
Accédez maintenant à un nombre illimité de mot de passe :