Fb Messenger a été victime d’une grosse faille qui permettait à un pirate de modifier le contenu d’une dialog et de vous faire dire n’importe quoi. Comme souvent dans ces cas là c’est une société d’antivirus, Verify Level, qui a prévenu Fb.
Imaginez qu’un pirate puisse modifier une dialog Messenger, et ainsi vous faire dire n’importe quoi, ou pire faire croire que vous avez donné votre accord pour faire telle ou telle selected. C’est Roman Zaikin, chercheur en sécurité chez Verify Level, qui a découvert cette faille permettant de changer le texte, les pictures ou encore les liens d’une dialog sur Fb.
Cette faille pouvait donc toucher plus de 900 millions de personnes, elle était aussi bien exploitable sur Android que sur la model net cellular du réseau social, même si depuis peu les messages ne sont plus accessibles depuis ce dernier.
«Un hacker pouvait modifier les messages de sorte à falsifier un accord avec la victime, effacer une preuve ou, au contraire, incriminer une personne innocente» explique Examine Level. Le hacker avait aussi la possibilité de remplacer des liens web et ainsi mener une personne vers un website infecté de malwares.
Heureusement Verify Level est du bon côté et Fb a réagi assez vite en corrigeant cette faille au début du mois. « Suite à l’intervention responsable de Examine Level, Fb a réparé rapidement la vulnérabilité » malheureusement on ne sait pas si cette faille a pu être exploitée avant d’être corrigée.
Fb a mis en place en 2011 le programme Bug Bounty, qui récompense les « gentils » hackers qui mettent en évidence des failles de sécurité. C’est d’ailleurs grâce à ce programme qu’un enfant de 10 ans a reçu 10 000$ pour avoir découvert une faille au sein d’Instagram.
Voilà une démonstration de l’exploitation de la faille :