Sur le net
Une chasseuse de failles de sécurité a découvert une vulnérabilité dans l'application Messenger. Sur Android, elle aurait pu permettre d'écouter un utilisateur à son insu. La faille a été corrigée.
Comme la plupart des entreprises du secteur, Facebook dispose d’un programme “bug bounty” (prime au bug), qui récompense les chercheurs de bugs et de failles de sécurité sur ses services. Cette année, ce programme a versé deux des trois plus grosses récompenses jamais allouées depuis sa création, il y a 10 ans.
Dont 60.000 dollars (50.600 euros) pour une faille trouvée dans Messenger, qui aurait pu permettre à un hacker d'appeler un utilisateur et de l'écouter sans qu'il ne décroche, relate Wired. Et ce, quelle que soit la durée de la sonnerie. La vulnérabilité, désormais corrigée, aurait pu être exploitée sur la version Android de Messenger.
Une faille difficile à exploiter
Elle a été découverte par Natalie Silvanovich, membre de l'équipe de chasseurs de bugs du Projet Zéro de Google.
"Après qu'un bug similaire ait été découvert dans FaceTime l'année dernière, j'ai commencé à enquêter pour savoir si ce type de vulnérabilité existait dans d'autres applications de vidéoconférence", a expliqué Natalie Silvanovich, du Projet Zéro.
Ici, contrairement à la faille de FaceTime qu'une personne lambda aurait pu exploiter, il aurait fallu que l'attaquant soit expérimenté. La vulnérabilité découverte dans la messagerie de Facebook aurait nécessité que le hacker et sa cible soient connectés à Messenger sur Android, et que la victime y soit également connectée sur un navigateur. Alerté, Facebook a corrigé la faille et assure qu'elle n'a jamais été exploitée.
Le code à 7 caractères (précédé de « @ ») à côté du Nom est le Code MediaCongo de l’utilisateur. Par exemple « Jeanne243 @AB25CDF ». Ce code est unique à chaque utilisateur. Il permet de différencier les utilisateurs.
Les plus commentés
Politique Assemblée nationale: Vital Kamerhe remporte la primaire de l’Union Sacrée pour la présidence du perchoir
23.04.2024, 17 commentairesPolitique Primaires à l'Union sacrée : ''Une manière planifiée d'écarter Vital Kamerhe de la course à la tête de l'Assemblée nationale'' (UNC)
22.04.2024, 16 commentairesPolitique «Soutenir Tshisekedi pendant la campagne de 2023 ne signifie pas donner un chèque blanc à son entourage des binationaux pour piller le pays »(A-Daniel Shekomba)
22.04.2024, 9 commentaires
Ils nous font confiance