Firefox & Chrome : une faille faisait fuiter des informations Facebook

Numa LABORDE
01 juin 2018 à 13h47
0
Depuis 2016, les navigateurs Firefox et Chrome laissaient fuiter des informations privées de notre profil Facebook à cause d'une vulnérabilité. Même si elle a été corrigée depuis, nous ne sommes pas à l'abri de nouvelles menaces de ce genre.

Cette fois-ci, ce n'est pas la faute de Facebook, mais d'une faille dans les navigateurs Firefox et Chrome qui a permis à des sites tiers malveillants de récolter des informations Facebook.


Une vulnérabilité existante depuis 2016



Les chercheurs, Dario Weißer et Ruslan Habalov, ont révélé la présence d'une faille dans le système depuis 2016 sur les navigateurs web, Chrome et Firefox. Elle permettait de divulguer les noms des utilisateurs Facebook, les images de profil et les likes des utilisateurs s'ils consultaient des sites Web malveillants qui utilisent un hack de pointe. Cette vulnérabilité provient d'une fonctionnalité Web qui avait été introduite dans la norme CSS (Cascading Style Sheet) en 2016. S'appelant « mix-blend-mode », elle faisait fuiter les informations et transférait les pixels de la page Facebook dans un « iframe ».

Ce type d'attaque est appelé « attaque par canal auxiliaire », c'est-à-dire une attaque informatique qui recherche et exploite des failles dans leur implémentation, logicielle ou matérielle. Le hack analyse directement chaque pixel de notre profil Facebook. Pour le texte, il utilise la reconnaissance optique de caractères pour extraire des noms, des messages ou autres types de contenus. Et tout cela se fait par un ordinateur en à peine une vingtaine de secondes et en cinq minutes pour extraire un rendu brut de la photo de profil du visiteur.

Facebook


Mais ce type de vulnérabilité pourrait revenir



Le problème a finalement été résolu en décembre 2017 dans la version 63 de Chrome et cette année dans Firefox 60, après que les deux chercheurs ont fait part de leur trouvaille auprès de Facebook, Google et aux créateurs de la bibliothèque graphique Skia utilisée par Chrome. Les navigateurs Internet Explorer et Edge de Microsoft n'ont pas été touchés par cette faille, car ils n'avaient pas implémenté le « mix-blend-mode ». Le navigateur d'Apple, Safari, n'a pas été touché non plus mais on ne sait pas pourquoi. La vulnérabilité a donc été corrigée, mais cela a laissé de nombreuses personnes sans protection de 2016 à 2017.

Le problème a certes été corrigé, mais Dario Weißer et Ruslan Habalov estiment que ce n'est qu'un début. Selon eux, ce type d'attaque pourrait revenir en raison de l'évolution constante de la technologie et de l'informatique qui donnerait encore plus de chances à de telles vulnérabilités d'apparaître de nouveau.


Modifié le 01/06/2018 à 15h36
Sélection Clubic VPN 2019

Les actualités récentes les plus commentées

Netflix augmente ses tarifs en France dès aujourd'hui
Un outil destiné aux forces de l'ordre capable de déverrouiller quasiment tous les smartphones
Sommet européen des 20 et 21 juin : objectif zéro émission de gaz à effet de serre d'ici 2050 ?
Une pétition demande à Netflix de déprogrammer Good Omens... une série produite par Amazon
Bill Gates considère que
Le Raspberry Pi 4 est là : trois configurations jusqu'à 4 Go de RAM (et un kit desktop)
AMD : le Ryzen 7 3800X mettrait à mal les Core i9-9900K d'Intel sur GeekBench
Le Bitcoin continue sa course folle et dépasse les 10 000$
La mémoire informatique universelle pourrait révolutionner la consommation des data centers
La Tesla Model 3 perd les faveurs de l'Europe, qui lui préfère la future Renault ZOE 2
scroll top