Firefox & Chrome : une faille faisait fuiter des informations Facebook

01 juin 2018 à 13h47
0
Depuis 2016, les navigateurs Firefox et Chrome laissaient fuiter des informations privées de notre profil Facebook à cause d'une vulnérabilité. Même si elle a été corrigée depuis, nous ne sommes pas à l'abri de nouvelles menaces de ce genre.

Cette fois-ci, ce n'est pas la faute de Facebook, mais d'une faille dans les navigateurs Firefox et Chrome qui a permis à des sites tiers malveillants de récolter des informations Facebook.


Une vulnérabilité existante depuis 2016

Les chercheurs, Dario Weißer et Ruslan Habalov, ont révélé la présence d'une faille dans le système depuis 2016 sur les navigateurs web, Chrome et Firefox. Elle permettait de divulguer les noms des utilisateurs Facebook, les images de profil et les likes des utilisateurs s'ils consultaient des sites Web malveillants qui utilisent un hack de pointe. Cette vulnérabilité provient d'une fonctionnalité Web qui avait été introduite dans la norme CSS (Cascading Style Sheet) en 2016. S'appelant « mix-blend-mode », elle faisait fuiter les informations et transférait les pixels de la page Facebook dans un « iframe ».

Ce type d'attaque est appelé « attaque par canal auxiliaire », c'est-à-dire une attaque informatique qui recherche et exploite des failles dans leur implémentation, logicielle ou matérielle. Le hack analyse directement chaque pixel de notre profil Facebook. Pour le texte, il utilise la reconnaissance optique de caractères pour extraire des noms, des messages ou autres types de contenus. Et tout cela se fait par un ordinateur en à peine une vingtaine de secondes et en cinq minutes pour extraire un rendu brut de la photo de profil du visiteur.

Facebook


Mais ce type de vulnérabilité pourrait revenir

Le problème a finalement été résolu en décembre 2017 dans la version 63 de Chrome et cette année dans Firefox 60, après que les deux chercheurs ont fait part de leur trouvaille auprès de Facebook, Google et aux créateurs de la bibliothèque graphique Skia utilisée par Chrome. Les navigateurs Internet Explorer et Edge de Microsoft n'ont pas été touchés par cette faille, car ils n'avaient pas implémenté le « mix-blend-mode ». Le navigateur d'Apple, Safari, n'a pas été touché non plus mais on ne sait pas pourquoi. La vulnérabilité a donc été corrigée, mais cela a laissé de nombreuses personnes sans protection de 2016 à 2017.

Le problème a certes été corrigé, mais Dario Weißer et Ruslan Habalov estiment que ce n'est qu'un début. Selon eux, ce type d'attaque pourrait revenir en raison de l'évolution constante de la technologie et de l'informatique qui donnerait encore plus de chances à de telles vulnérabilités d'apparaître de nouveau.


Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

50 euros remboursés sur une sélection d’accessoires audio chez Bouygues
GTX 11 : Nvidia présentera de nouvelles cartes graphiques en août
Fortnite et Dragon Ball FighterZ en approche sur Nintendo Switch ?
Canon annonce l'arrêt de la commercialisation de son dernier appareil argentique
Qualcomm voudrait concurrencer Intel sur PC avec le Snapdragon 1000
Au tour de Free de mettre au point son assistant connecté
Fin de transmission pour le télégramme à l’âge de 139 ans
Google Maps : de faux URL mènent vers des sites malicieux
Note 9 et S10 : une sortie avancée pour laisser du temps au Galaxy X ?
La Freebox V7 pourrait être assortie d'une barre son Devialet
Haut de page