Facebook : une faille de sécurité dans Messenger pouvait permettre l’écoute indiscrète des appels

21 Nov 2020 - Carlito

0 commentaire(s)
Crédit : kropekk_pl, Pixabay
Crédit : kropekk_pl, Pixabay

Cette faille de sécurité a été trouvée par Natalie Silvanovich, qui travaille au sein de l’équipe du Project Zero de Google. Elle avait un pouvoir de nuisance très important, puisque des pirates auraient pu l’utiliser pour espionner des utilisateurs Android de Messenger en écoutant leurs appels audio. Le tout sans le consentement de la victime, bien évidemment.

Une faille rapidement corrigée

Le bug résidait dans la technologie WebRTC utilisée par Messenger pour la prise en charge des appels audio et vidéo. Le SDP en particulier (Session Description Protocol) était en cause, un protocole qui active les sessions de données pour les connexions WebRTC. Il suffisait à un pirate d’envoyer un message lorsque l’app sonnait pour qu’elle commence à transmettre le son immédiatement.

La chercheuse a rapporté sa découverte à Facebook le mois dernier, qui a rapidement corrigé la faille. Pour les utilisateurs, pas besoin de télécharger une mise à jour de l’application : tout se réalise côté serveurs, c’est à dire chez Facebook. Dans le cadre de son programme de « bug bounty », Le réseau social a octroyé une récompense de 60.000 $, que Natalie Silvanovich s’est empressée de reverser à l’organisation caritative GiveWell.

Facebook, qui a versé la même somme à cette association, a expliqué que cette récompense a été « une des trois plus importantes » de son programme de chasse aux failles, ce qui reflète sa dangerosité. Ce n’est pas la première fois que la chercheuse trouve une vulnérabilité dans les messageries instantanées, dont c’est la spécialité. En 2018, elle en dénichait une dans WhatsApp pour Android et iOS, puis l’année suivant dans l’application iMessage d’Apple.

Facebook : une faille de sécurité dans Messenger pouvait permettre l’écoute indiscrète des appels