Une faille découverte dans Facebook Messenger permettait d'espionner les utilisateurs

Une chasseuse de failles de sécurité a découvert une vulnérabilité dans l'application Messenger. Sur Android, elle aurait pu permettre d'écouter un utilisateur à son insu. La faille a été corrigée.

Comme la plupart des entreprises du secteur, Facebook dispose d’un programme “bug bounty” (prime au bug), qui récompense les chercheurs de bugs et de failles de sécurité sur ses services. Cette année, ce programme a versé deux des trois plus grosses récompenses jamais allouées depuis sa création, il y a 10 ans.

Dont 60.000 dollars (50.600 euros) pour une faille trouvée dans Messenger, qui aurait pu permettre à un hacker d'appeler un utilisateur et de l'écouter sans qu'il ne décroche, relate Wired. Et ce, quelle que soit la durée de la sonnerie. La vulnérabilité, désormais corrigée, aurait pu être exploitée sur la version Android de Messenger.

Une faille difficile à exploiter

Elle a été découverte par Natalie Silvanovich, membre de l'équipe de chasseurs de bugs du Projet Zéro de Google.

"Après qu'un bug similaire ait été découvert dans FaceTime l'année dernière, j'ai commencé à enquêter pour savoir si ce type de vulnérabilité existait dans d'autres applications de vidéoconférence", a expliqué Natalie Silvanovich, du Projet Zéro.

Ici, contrairement à la faille de FaceTime qu'une personne lambda aurait pu exploiter, il aurait fallu que l'attaquant soit expérimenté. La vulnérabilité découverte dans la messagerie de Facebook aurait nécessité que le hacker et sa cible soient connectés à Messenger sur Android, et que la victime y soit également connectée sur un navigateur. Alerté, Facebook a corrigé la faille et assure qu'elle n'a jamais été exploitée.