Firefox & Chrome : une faille faisait fuiter des informations Facebook

Numa LABORDE
01 juin 2018 à 13h47
0
Depuis 2016, les navigateurs Firefox et Chrome laissaient fuiter des informations privées de notre profil Facebook à cause d'une vulnérabilité. Même si elle a été corrigée depuis, nous ne sommes pas à l'abri de nouvelles menaces de ce genre.

Cette fois-ci, ce n'est pas la faute de Facebook, mais d'une faille dans les navigateurs Firefox et Chrome qui a permis à des sites tiers malveillants de récolter des informations Facebook.


Une vulnérabilité existante depuis 2016

Les chercheurs, Dario Weißer et Ruslan Habalov, ont révélé la présence d'une faille dans le système depuis 2016 sur les navigateurs web, Chrome et Firefox. Elle permettait de divulguer les noms des utilisateurs Facebook, les images de profil et les likes des utilisateurs s'ils consultaient des sites Web malveillants qui utilisent un hack de pointe. Cette vulnérabilité provient d'une fonctionnalité Web qui avait été introduite dans la norme CSS (Cascading Style Sheet) en 2016. S'appelant « mix-blend-mode », elle faisait fuiter les informations et transférait les pixels de la page Facebook dans un « iframe ».

Ce type d'attaque est appelé « attaque par canal auxiliaire », c'est-à-dire une attaque informatique qui recherche et exploite des failles dans leur implémentation, logicielle ou matérielle. Le hack analyse directement chaque pixel de notre profil Facebook. Pour le texte, il utilise la reconnaissance optique de caractères pour extraire des noms, des messages ou autres types de contenus. Et tout cela se fait par un ordinateur en à peine une vingtaine de secondes et en cinq minutes pour extraire un rendu brut de la photo de profil du visiteur.

Facebook


Mais ce type de vulnérabilité pourrait revenir

Le problème a finalement été résolu en décembre 2017 dans la version 63 de Chrome et cette année dans Firefox 60, après que les deux chercheurs ont fait part de leur trouvaille auprès de Facebook, Google et aux créateurs de la bibliothèque graphique Skia utilisée par Chrome. Les navigateurs Internet Explorer et Edge de Microsoft n'ont pas été touchés par cette faille, car ils n'avaient pas implémenté le « mix-blend-mode ». Le navigateur d'Apple, Safari, n'a pas été touché non plus mais on ne sait pas pourquoi. La vulnérabilité a donc été corrigée, mais cela a laissé de nombreuses personnes sans protection de 2016 à 2017.

Le problème a certes été corrigé, mais Dario Weißer et Ruslan Habalov estiment que ce n'est qu'un début. Selon eux, ce type d'attaque pourrait revenir en raison de l'évolution constante de la technologie et de l'informatique qui donnerait encore plus de chances à de telles vulnérabilités d'apparaître de nouveau.


Modifié le 01/06/2018 à 15h36
0 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

En Californie, Donald Trump tente d’annuler la loi sur les limites d'émissions de CO2
OVNI : l'US Navy avoue (enfin) avoir filmé des objets aériens non identifiés
Le TGI de Paris invalide la clause de non-revente de jeux dématérialisés de Steam
Les salariés de Microsoft appellent leur direction à cesser d'être
En France, une campagne est lancée contre la
Sony donne le prix de ses écrans 16k : ils coûteront plusieurs millions de dollars
Airbnb : la mairie de Paris envisage d'interdire purement et simplement les locations
Huawei Mate 30 Pro : un smartphone d’exception… auquel la France n’aura droit que
La quantité d'énergie produite par les énergies renouvelables a quadruplé en une décennie
Le stade de Miami pourrait être rebaptisé BangBros Center... du nom du site pornographique

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top