Chrome et Firefox aussi à l’origine de piratage de profils Facebook

@journalduhack

Le monde du Web n’a pas encore tout appris à propos de la violation de la confidentialité des données personnelles dont, seul Facebook est accusé depuis l’affaire « fuite de données Facebook-Cambridge Analytica ». Le groupe de Zuckerberg ne sera, peut-être, plus seul à supporter les différents chefs d’accusation grâce à l’œuvre de certains chercheurs qui, certainement nous dirons davantage sur l’affaire.

En effet, des chercheurs indépendants en sécurité, Dario Weißer et Ruslan Habalov ont signalé une vulnérabilité qui a été exploitée par des sites malveillants pour extraire les noms et photos de profil de quelques utilisateurs de Facebook, mais qui a été corrigée en intégralité pas plus tard que deux semaines en arrière. Cette fois-ci, la vulnérabilité n’est pas le fait de Facebook, mais d’une fonctionnalité standard ajoutée aux navigateurs en 2016.

Les malveillants auraient eu accès à Facebook par le biais d’une vulnérabilité appelée canal latéral. C’est une attaque qui est plutôt basée sur des informations obtenues à partir de la mise en œuvre d’un système informatique, et non sur des faiblesses dans l’algorithme implémenté dans un logiciel lui-même.

Dans ce cas, la vulnérabilité est due à une nouvelle fonctionnalité introduite dans la norme CSS (Cascading Style Sheet) en 2016. L’une des nouvelles fonctionnalités connues sous le nom de « mix-blend-mode » a fuité du contenu visuel hébergé sur Facebook vers les sites Web qui comprenaient un lien iframe et du code intelligent pour capturer les données. Normalement, la fuite de données par cette procédure n’était plus probable en raison d’un concept de sécurité connu sous le nom de « same-origin policy », politique d’origine identique, qui interdit que le contenu hébergé sur un domaine soit disponible pour un domaine différent. La vulnérabilité était importante, car elle permettait aux pirates informatiques de contourner ce principe fondamental pour Chrome et Firefox, deux des navigateurs Internet les plus utilisés.

L’attaque ne procède pas par une extraction directe des images ou le texte des profils Facebook. Mais elle analyse chaque pixel et, dans le cas du texte, utilise la reconnaissance optique de caractères pour extraire des mots significatifs comme des noms ou même des messages. Et tout ceci nécessite seulement 20 secondes pour extraire le nom d’utilisateur d’un visiteur et cinq minutes pour extraire un rendu brut de la photo de profil du visiteur.

Au moment où les chercheurs Dario Weißer et Ruslan Habalov découvraient la vulnérabilité en avril 2017, Max May, un autre chercheur indépendant l’avait déjà signalé. Weißer et Habalov ont rapporté en privé la vulnérabilité à Facebook, à Google, à Firefox et aux créateurs de la bibliothèque graphique Skia utilisée par Chrome qui ont corrigé progressivement les failles jusqu’en mai 2018, certainement après que la vulnérabilité ait fait plusieurs victimes.

Selon les chercheurs, plusieurs autres navigateurs présentant les mêmes vulnérabilités n’ont pas encore été infectés, et cela pour une raison qu’ils ignorent. Des correctifs nécessaires devraient s’imposer aussi à ces navigateurs. Par ailleurs, selon l’un des chercheurs Ruslan, « Nous avons seulement démontré le potentiel d’attaque contre Facebook », a rapporté New York Metropolitan. « Cependant, à travers le Web, il y a des tonnes d’autres ressources sensibles qui pourraient être affectées par des attaques comme celle-ci d’une manière similaire. Malheureusement, nous prévoyons que de plus en plus de ces vulnérabilités feront surface dans les années à venir. »

Source : Slash Gear

Share This Article
Leave a Comment