Des failles de Chrome et Firefox permettaient aux sites d’obtenir vos infos Facebook

Des chercheurs ont découvert une faille de sécurité commune à Firefox et Chrome qui permettait aux sites web malveillants de récupérer vos nom, photo de profil et likes Facebook à partir des plugins Facebook Connect.

D’après une déclaration de spécialistes à la fin de la semaine dernière, Mozilla Firefox et Google Chrome pourraient avoir divulgué les noms d’utilisateur, photos de profil, et likes Facebook de leurs utilisateurs, si ces derniers ont visité des sites Web malveillants depuis plus d’un an.

Les données pourraient être extraites grâce à ce que l’on appelle une attaque par canal auxiliaire (side-channel vulnerability) depuis l’implémentation de nouveaux standards apparu en 2016 dans les navigateurs. L’un d’eux, connu sous le nom de « mix-blend-mode », a fait fuiter du contenu provenant de Facebook vers des sites Web qui utilisaient un lien iframe et un algorithme intelligent pour capturer les données. La faille était de taille parce qu’elle permettait aux pirates de violer l’un des principes de sécurité les plus courants qui soient, et ce pour deux des navigateurs les plus utilisés au monde.

Un processus sophistiqué

La fuite a été découverte par deux équipes de recherches différentes. Elle a été réparée à la fin de l’année dernière dans la version 63 de Chrome, et il y a deux semaines dans Firefox 60. Bien que les navigateurs mis à jour ne constituent plus une menace pour la vie privée des utilisateurs, Dario Weißer, l’un des chercheurs qui ont découvert la vulnérabilité, a déclaré que les normes HTML5 et CSS sont susceptibles de rendre possibles des piratages similaires à l’avenir : « Je ne serais pas surpris qu’il y ait des problèmes similaires, mais inconnus. »

Avec le chercheur Ruslan Habalov, Weißer a prouvé qu’il était possible pour n’importe quel site web d’extraire les informations des utilisateurs de Facebook s’ils y étaient connectés via Chrome ou Firefox. Cela est rendu possible à partir d’un iframe mis à disposition par Facebook pour des plugins comme Facebook Connect (permettant aux utilisateurs de s’identifier/s’inscrire sur un site à l’aide de leur compte Facebook) et autres.

Les autres navigateurs ne sont pas concernés

Lorsque Weißer et Habalov ont découvert la faille en avril 2017, un autre chercheur nommé Max May l’avait déjà signalé sur la liste de diffusion Chromium. Weißer et Habalov l’ont quant à eux directement signalé à Facebook et Google. Si Google a publié un correctif en décembre, Facebook a quant à lui déclaré qu’il était impossible de corriger la faille de son côté.

Pour Mozilla, les chercheurs ne les ont pas informés avant novembre 2017 en raison d’une erreur, ce qui explique pourquoi Firefox a mis plus de temps à déployer un correctif. Weißer explique qu’Internet Explorer et Edge n’ont pas été affectés parce qu’ils n’ont pas utilisé le mode mix-blend à l’origine de la faille. Safari n’était pas affecté non plus, mais on ignore pourquoi.

Source


Commenter

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.