Une faille interne à Messenger permettait à des pirates informatiques de pouvoir voir qui vous contactiez depuis l’application de messagerie de Facebook.

La vulnérabilité de Messenger a été divulguée par le groupe de recherche en sécurité Imperva il y a à peu près un an. Les chercheurs ont découvert qu’il était possible pour un pirate informatique d’utiliser n’importe quel site web pour révéler l’identité des contacts Messenger d’un utilisateur. Mis au courant de cette faille, Facebook a rapidement apporté un correctif en novembre dernier.

Affaire classée donc ? Pas vraiment. Selon l’équipe de chercheurs, la faille pourrait très bien être réexploitée malgré le correctif apporté par Facebook. En effet, Imperva explique qu’un pirate informatique pourrait élaborer un nouvel algorithme capable d’exposer les contacts d’un utilisateur Facebook.

La faille reposait sur l’exploitation des éléments iframe présents sur un navigateur Internet sur lequel se connecte à Facebook un utilisateur. Cette faille a pu permettre à des pirates de déterminer avec quels amis un utilisateur échangé, mais aussi les contacts avec qui il avait discuté et qui ne figuraient pas dans sa liste d’amis.

Imperva précise que pour avoir été une cible potentielle, un utilisateur aurait dû visiter un site malveillant depuis Chrome et, en étant connecté sur Facebook, aurait permis à des pirates d’exécuter des requêtes depuis un nouvel onglet Facebook afin d’extraire des données personnelles.

Après le correctif apporté par Facecook, les chercheurs ont précisé au réseau social la vulnérabilité des éléments iframe présents dans les navigateurs web qui les a supprimés.

Contacté par The Verge, Facebook a tenu à souligner que le problème en question était de la responsabilité des navigateurs Internet et donc, n’était pas spécifique à Facebook.

Le chercheur israélien d’Imperva Ron Masas explique que ce type d’exploitation n’était pas encore très utilisé par les pirates informatiques, mais que cela pourrait changer. « Tandis que les grands joueurs comme Facebook et Google rattrapent leur retard, la plupart des acteurs du secteur n’en sont toujours pas conscients », précise-t-il dans le rapport.

Aucun pirate ni victime ne s’est jusqu’à présent manifesté.

Malheureusement, les chercheurs d’Imperva ne proposent pas de solution préventive que pourraient mettre en place les utilisateurs pour éviter ce genre d’attaques.