Socialnetlink Jamais, on n’arrêtera de déceler des failles dans les applications que nous utilisons sur nos smartphones. Malgré leur équipe de sécurité et les moyens colossaux mis à leur disposition, une personne externe de Facebook, une chasseuse de faille de sécurité vient de découvrir une vulnérabilité dans l’application Messenger. Une faille qui a permet d’écouter un utilisateur à son insu.
Comme la plupart des entreprises du secteur, Facebook dispose d’un programme “bug bounty” (prime au bug), qui récompense les chercheurs de bugs et de failles de sécurité sur ses services. Cette année, ce programme a versé deux des trois plus grosses récompenses jamais allouées depuis sa création, il y a 10 ans.
Lire aussi: Des hackers gagnent 288 000 dollars en trouvant 55 failles de sécurité dans des produits Apple
Dont 60.000 dollars (50.600 euros) pour une faille trouvée dans Messenger, qui aurait pu permettre à un hacker d’appeler un utilisateur et de l’écouter sans qu’il ne décroche, relate Wired selon Bfmtv. Et ce, quelle que soit la durée de la sonnerie. La vulnérabilité, désormais corrigée, aurait pu être exploitée sur la version Android de Messenger.
Une faille difficile à exploiter
Elle a été découverte par Natalie Silvanovich, membre de l’équipe de chasseurs de bugs du Projet Zéro de Google.
« Après qu’un bug similaire ait été découvert dans FaceTime l’année dernière, j’ai commencé à enquêter pour savoir si ce type de vulnérabilité existait dans d’autres applications de vidéoconférence », a expliqué Natalie Silvanovich, du Projet Zéro.
Ici, contrairement à la faille de FaceTime qu’une personne lambda aurait pu exploiter, il aurait fallu que l’attaquant soit expérimenté. La vulnérabilité découverte dans la messagerie de Facebook aurait nécessité que le hacker et sa cible soient connectés à Messenger sur Android, et que la victime y soit également connectée sur un navigateur. Alerté, Facebook a corrigé la faille et assure qu’elle n’a jamais été exploitée.
Avec Bfmtv
