Facebook Messenger, Signal, Google Duo : des failles critiques permettaient d’épier les utilisateurs Par David Douïeb le 21 janvier 2021 Une chercheuse de Google Project Zero a repéré d’anciennes failles critiques sur plusieurs applications de messagerie, à l’instar de Signal, Facebook Messenger ou encore Mocha. Corrigées depuis, elles permettaient à des individus malveillants d’espionner facilement leurs destinataires. En 2019, un bug de FaceTime Vidéo permettait d’espionner les utilisateurs d’iPhone. Le hacker n’avait qu’à appeler son correspondant via l’application avant de s’ajouter à la conversation. Il pouvait ensuite écouter son destinataire alors même que celui-ci n’avait pas décroché, son micro s’étant activé comme par enchantement. Pire, si le correspondant touchait sans faire exprès un bouton de volume, sa camera s’activait à son insu. Le bug a évidemment été corrigé depuis. Mais il a toutefois mis la puce à l’oreille de Natacha Silvanovich, chercheuse en sécurité informatique du Google Project Zero. Pour mémoire, l’équipe de sécurité du géant du web avait notamment mis au jour récemment une faille zero-day sur Google Chrome. Faille de sécurité : les pirates pouvaient capter les flux vidéo sur Google Duo Dans un article de blog, Natacha Silvanovich assure que de célèbres applications de vidéoconférence ont également été victimes de failles semblables à celle qui avait touché FaceTime Vidéo en 2019. Preuve que l’affaire, pourtant médiatisée, n’a pas inquiété outre-mesure les professionnels du secteur. Les applications concernées sont les suivantes : Google Duo, Facebook Messenger, Mocha, JioChat ou encore Signal, qui vient de piquer de nombreux abonnés à WhatsApp. Dans le détail, les pirates pouvaient notamment mettre la main sur les données audio des utilisateurs de Facebook Messenger et de Signal. Concernant Mocha et JioChat, ils étaient capables de capter le son et la vidéo de leurs victimes. Enfin, ils avaient la possibilité de récupérer les flux vidéo via Google Duo. Entre 2019 et 2020, les applications se sont toutes attelées à corriger ces failles pour le moins alarmantes. Cela dit, elles pourraient à l’avenir être à nouveau menacées. « Il est également préoccupant de noter que je n’ai examiné aucune fonctionnalité d’appel de groupe de ces applications. Et que toutes les vulnérabilités signalées ont été découvertes dans des appels peer-to-peer. Un prochain travail pourrait révéler des problèmes supplémentaires », pointe la chercheuse. A bon entendeur ! Lire aussi >> Google Chrome, Microsoft Edge : des extensions vérolées collectent vos données personnelles Source La rédaction vous conseille : Google Chrome, Microsoft Edge : des extensions vérolées collectent vos données personnelles Play Store : ces 10 applications Android dérobent vos identifiants Facebook PayPal : une virulente campagne de phishing est en cours, prudence Article précédent Google Chrome, Microsoft Edge : des extensions vérolées collectent vos données personnelles décembre 17, 2020 Article suivant Un malware Android se faisant passer pour Netflix se propage sur WhatsApp avril 8, 2021