Une faille de Facebook laissait les hackers espionner l’utilisateur lors d’un appel même si ce dernier ne décrochait pas

Une faille de Facebook Messenger a été détectée par une informaticienne. Il s’est avéré que cette vulnérabilité pouvait permettre à un hacker d’écouter n’importe qui à son insu pendant un appel, même si ce dernier ne décrochait pas.
Sputnik

Une faille permettant d’écouter quelqu’un à son insu le temps d’un appel a été détectée dans Facebook Messenger, rapporte le site Wired.

Selon ce média, un hacker, en appelant sa victime sur cette application, pouvait l’écouter, et ce même si l’interlocuteur avait refusé de répondre.

C’est l’informaticienne Natalie Silvanovich de l'équipe Project Zero bug hunting de Google qui a découvert cette faille majeure.

La vulnérabilité, qui est maintenant corrigée, aurait pu être exploitée dans Messenger pour Android. Un pirate pouvait appeler une cible et lui envoyer simultanément un message invisible spécialement conçu pour déclencher l'attaque, comme l’indique le média.

«Ce que vous auriez vu, c'est le pirate qui vous appelle, puis le téléphone sonne, et il aurait pu écouter jusqu'à ce que vous décrochiez ou que l'appel se termine, a expliqué Dan Gurfinkel, responsable de l'ingénierie de sécurité de Facebook. Nous avons rapidement corrigé ce bug avant qu'il ne soit exploité».

La source indique que le réseau social Facebook dispose d’un programme de «prime au bug» depuis une dizaine d’années: les informaticiens qui découvrent des failles de sécurité et des bugs sur ses services obtiennent une rémunération. Ainsi, Mme Silvanovich a reçu l’une des plus grosses récompenses de la décennie: 60.000 dollars (50.600 euros).

Un problème similaire sur Apple

Auparavant, une faille semblable avait été découverte sur FaceTime, application d'appel vidéo d'Apple. Elle permettait à l'utilisateur d'entendre, et même de voir, son correspondant sur son iPhone avant même que celui-ci ne décroche.

«Après qu'un bug similaire a été découvert dans FaceTime l'année dernière, j'ai commencé à enquêter pour savoir si ce type de vulnérabilité existait dans d'autres applications de visioconférence», a expliqué Natalie Silvanovich, citée par Wired.

Mais le média ajoute que la faille aurait été difficile à exploiter dans la pratique. Il fallait que le pirate et la cible soient connectés à Messenger sur le système d'exploitation pour téléphone Android et sur un navigateur Web simultanément. De plus, il fallait également que le hacker et sa victime soient «amis» sur Facebook, pour que l'attaque fonctionne, ce qui limite son utilité.

Discuter