PaperGeek, actu geek et high tech

Actu geek

Accueil / Sécurité / Facebook : les pirates peuvent facilement espionner vos messages audio

Facebook : les pirates peuvent facilement espionner vos messages audio

Par le

Facebook, vulnérable aux hackers ? Nos confrères de The Hacker News rapportent qu’il est possible d’écouter tous les messages audio des conversations sur Facebook grâce à une simple attaque MiTM. Facebook et WhatsApp permettent en effet via une icône en forme de micro d’envoyer des messages audio à ses destinataires. 

facebook pirates peuvent facilement espionner message audio

Un chercheur en sécurité égyptien, Mohamed A. Baset a mis en évidence une vulnérabilité de Facebook Messenger, ou plus précisément de sa fonctionnalité permettant d’envoyer des messages audio. N’importe quel hacker, même noob, pourrait ainsi avoir accès à l’intégralité des messages audio de sa victime.

En fait à chaque fois que vous enregistrez un message audio, le fichier est envoyé sur les serveurs CDN de Facebook (https://z-1-cdn.fbsbx.com/…) qui sert le fichier pour vos destinataires. On remarque la présence d’HTTPS, censé compliquer l’attaque à distance.  Ce lien absolu contient des tokens d’authentification.

Maintenant imaginez que vous puissiez obtenir ce lien absolu, soit via une attaque MiTM (Man-In-The-Middle). Il est alors possible de downgrader le protocole HTTPS vers du HTTP classique et de télécharger directement les fichiers audio. Avec cette méthode, un attaquant peut espionner tous les échanges audio de ses victimes sans que celles-ci ne s’en rendent compte,.

De fait, Facebook n’a pas encore patché cette faille, liée aux spécificités du protocole HTTPS. Facebook est en effet en train de passer au protocole de transfert plus sécurisé HSTS (HTTP Strict Transport Security). Celui-ci force les navigateurs a passer par du HTTPS en interdisant le transfert entre un serveur sécurisé et non sécurisé.

Mohamed Baset a contacté Facebook à propos de cette faille « il y a longtemps » mais aurait eu une fin de non recevoir. Le réseau social estime en effet que cet upgrade de sécurité, en cours de déploiement pour l’ensemble de ses services, ne qualifie pas le White Hat à l’obtention d’une récompense pour sa trouvaille. En voici une démonstration en vidéo :

Via Via www.techworm.net/2017/01/hackers-can-listen-facebook-messenger-voice-messages-simple-hack.html
Newsletter

Abonnez-vous et recevez nos dernières actus & bons plans directement dans votre boite email.

Derniers articles
  • Facebook : comment désactiver la lecture automatique des vidéos
    Facebook vous permet de désactiver la lecture automatique des vidéos dans votre fil d’actualité. C’est très simple, même si le cheminement n’est pas une évidence pour qui ne l’a jamais…

    Comment faire

  • Facebook Messenger : comment activer et utiliser les conversations secrètes
    Facebook Messenger s’est mis depuis 2016 au chiffrement de bout en bout. Pour en profiter, il suffit de lancer une conversation secrète avec l’un de vos contacts. Encore faut-il savoir…

    Comment faire

  • Instagram : comment désactiver le statut « en ligne »
    Lorsque vous utilisez Instagram, vos contacts peuvent savoir que vous êtes en ligne, un petit rond vert apparaissant sur votre avatar. Sauf que vous pourriez vouloir arpenter l’application en toute…

    Comment faire

  • Instagram : comment activer la double authentification
    Instagram permet d’activer la double authentification pour ne plus dépendre uniquement de la sécurité de votre mot de passe principal. Un moyen de renforcer sensiblement la protection de votre compte…

    Comment faire