Firefox & Chrome : une faille faisait fuiter des informations Facebook

Par
le 01 juin 2018 à 13:47
 0
Depuis 2016, les navigateurs Firefox et Chrome laissaient fuiter des informations privées de notre profil Facebook à cause d'une vulnérabilité. Même si elle a été corrigée depuis, nous ne sommes pas à l'abri de nouvelles menaces de ce genre.

Cette fois-ci, ce n'est pas la faute de Facebook, mais d'une faille dans les navigateurs Firefox et Chrome qui a permis à des sites tiers malveillants de récolter des informations Facebook.


Une vulnérabilité existante depuis 2016



Les chercheurs, Dario Weißer et Ruslan Habalov, ont révélé la présence d'une faille dans le système depuis 2016 sur les navigateurs web, Chrome et Firefox. Elle permettait de divulguer les noms des utilisateurs Facebook, les images de profil et les likes des utilisateurs s'ils consultaient des sites Web malveillants qui utilisent un hack de pointe. Cette vulnérabilité provient d'une fonctionnalité Web qui avait été introduite dans la norme CSS (Cascading Style Sheet) en 2016. S'appelant « mix-blend-mode », elle faisait fuiter les informations et transférait les pixels de la page Facebook dans un « iframe ».

Ce type d'attaque est appelé « attaque par canal auxiliaire », c'est-à-dire une attaque informatique qui recherche et exploite des failles dans leur implémentation, logicielle ou matérielle. Le hack analyse directement chaque pixel de notre profil Facebook. Pour le texte, il utilise la reconnaissance optique de caractères pour extraire des noms, des messages ou autres types de contenus. Et tout cela se fait par un ordinateur en à peine une vingtaine de secondes et en cinq minutes pour extraire un rendu brut de la photo de profil du visiteur.

Facebook


Mais ce type de vulnérabilité pourrait revenir



Le problème a finalement été résolu en décembre 2017 dans la version 63 de Chrome et cette année dans Firefox 60, après que les deux chercheurs ont fait part de leur trouvaille auprès de Facebook, Google et aux créateurs de la bibliothèque graphique Skia utilisée par Chrome. Les navigateurs Internet Explorer et Edge de Microsoft n'ont pas été touchés par cette faille, car ils n'avaient pas implémenté le « mix-blend-mode ». Le navigateur d'Apple, Safari, n'a pas été touché non plus mais on ne sait pas pourquoi. La vulnérabilité a donc été corrigée, mais cela a laissé de nombreuses personnes sans protection de 2016 à 2017.

Le problème a certes été corrigé, mais Dario Weißer et Ruslan Habalov estiment que ce n'est qu'un début. Selon eux, ce type d'attaque pourrait revenir en raison de l'évolution constante de la technologie et de l'informatique qui donnerait encore plus de chances à de telles vulnérabilités d'apparaître de nouveau.


Modifié le 01/06/2018 à 15h36
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités

D’après le blog japonais Macotakara, l’iPhone 11 (attendu à la rentrée) reprendrait à son compte « PowerShare », l’une des fonctionnalités du Galaxy S10. Le terminal serait en effet capable de recharger par induction d’autres appareils, notamment une Apple Watch ou des AirPods.
14:43 | iPhone
C’est à 18h ce soir qu’Apple va présenter ses plateformes de streaming vidéo et de presse écrite. Le constructeur va, comme à son habitude, retransmettre l’évènement en direct que nous résumerons et analyserons pour vous dans la foulée.
14:09 | Apple
Dans quelques heures, Apple tiendra une keynote en direct de Cupertino dans le but de dévoiler son service de presse ainsi que sa nouvelle plateforme dédiée au streaming vidéo. Mais avant cette grande présentation, plusieurs informations se sont retrouvées sur la toile...
13:35 | Apple
Vous n'avez jamais entendu parler du forfait mobile Free Veepee à 8,99€ par mois à vie ? Il est temps pour l'équipe Clubic Bons Plans d'intervenir. Vous avez de la chance, Free a décidé pour notre plus grand plaisir de prolonger cette offre jusqu'au 26 mars. Ne perdons pas de temps, nous allons tout vous dire.
13:16 | Bon plan
Dans le cadre de l’événement Pwn2Own 2019 >>, deux chercheurs ont été récompensés d'une Tesla Model 3, pour être parvenus à hacker... la Tesla Model 3 !
En janvier dernier, des rumeurs évoquaient déjà l'annonce probable de deux nouvelles versions pour la Nintendo Switch.
Comment choisir le meilleur sac à dos pour pc portable ?
Le constructeur chinois a annoncé le développement de deux modèles sous Android One, censés remplacer la gamme Mi A2. Ces appareils disposeraient d’un capteur d’empreinte intégré sous l’écran.
Le secrétaire d’État au numérique a salué le courage de Bruno Le Maire au sujet de la taxe Gafa et proposé des pistes pour lutter contre l’accès des mineurs à la pornographie, ce lundi sur BFM TV et RMC.
11:19 | Loi internet
On le sait bien, toutes les bonnes choses ont une fin ! Même si les opérateurs mobiles sont friands des prolongations sur leurs offres, chez Clubic Bons Plans, on préfère prévenir que guérir. On fait donc une petite piqûre de rappel au sujet de l'offre RED by SFR 40 Go pour 10€ par mois qui prend fin... ce soir !
10:59 | Bon plan
En Norvège, les taxis devront se convertir à l'électrique d'ici 2023, et auront la possibilité de faire le plein via un système à induction.
Renault va déployer une flotte de 15 ZOE à charge bidirectionnelle pour élaborer les futures offres de charge réversible du groupe.
Les principaux groupes pétroliers et gaziers cotés en Bourse ont dépensé plus d’un milliard de dollars depuis la fin de la COP21 pour mener leur stratégie lobbyiste.
09:35 | Énergie
Grâce aux nouvelles découvertes réalisées par Scott Sheppard et son équipe de l’Institut Carnegie pour la Science, Jupiter possède maintenant 79 lunes, aucune planète du système solaire n’en possède autant !
08:55 | Espace
Le juge des référés du tribunal de grande instance de la Ville rose a accordé à plusieurs personnes le droit de refuser l’installation du compteur de nouvelle génération à leur domicile.
scroll top