En utilisant ce site, vous acceptez la Politique de confidentialité et les Conditions Générales de Vente.
Accepter
Le Blog de BBND – Actualités et nouvelles tendances du webLe Blog de BBND – Actualités et nouvelles tendances du web
  • News
  • Catégories
    • Actualités Numériques
    • Blockchain
    • Business Intelligence
    • Cybersécurité
    • Data
    • Développement Web
    • Hardware
    • Intelligence Artificielle
    • Mobile
    • Technologie
    • Web Design
    • Web Marketing
  • BBND
  • Qui sommes-nous
  • Initiatives
  • Réalisations
  • Formations
  • Recrutement
  • Contact
En cours de lecture : Un bug de Facebook Messenger permet aux pirates de vous écouter avant que vous ne décrochiez
Partager
Notification Voir mes signets
Dernières actualités
Illustration représentant Rclone, un outil de synchronisation cloud en ligne de commande, avec une icône de cloud et flèches de transfert
Rclone : Guide complet pour synchroniser, sauvegarder et monter vos fichiers cloud
Technologie
Schéma comparatif entre IPMI, PiKVM et NanoKVM pour le contrôle à distance
IPMI, PiKVM ou NanoKVM : Quelle solution KVM choisir ?
Hardware
Des packages npm malveillants compromettent Cursor, volent des identifiants et cryptomonnaies, et déploient des chevaux de Troie. Détail des campagnes.
Une faille dans Cursor : plus de 3 200 développeurs infectés via des packages npm malveillants
Cybersécurité
Filament v3 laravel
Pourquoi Filament V3 change-t-il la donne pour les développeurs Laravel ?
Développement Web
Illustration d’un cerveau connecté à une intelligence artificielle, symbolisant la recherche contre Alzheimer
L’IA dévoile une cause possible d’Alzheimer et identifie une piste thérapeutique prometteuse
Intelligence Artificielle
Aa
Le Blog de BBND – Actualités et nouvelles tendances du webLe Blog de BBND – Actualités et nouvelles tendances du web
Aa
Recherche
  • News
  • Catégories
    • Actualités Numériques
    • Blockchain
    • Business Intelligence
    • Cybersécurité
    • Data
    • Développement Web
    • Hardware
    • Intelligence Artificielle
    • Mobile
    • Technologie
    • Web Design
    • Web Marketing
  • BBND
    • Qui sommes-nous
    • Initiatives
    • Réalisations
    • Formations
    • Recrutement
    • Contact
Suivez-nous
  • Personnaliser mes sujets d’intérêts
  • Mes signets
© 2023 BBND All Rights Reserved.
Le Blog de BBND – Actualités et nouvelles tendances du web > Tous les articles > Cybersécurité > Un bug de Facebook Messenger permet aux pirates de vous écouter avant que vous ne décrochiez
Cybersécurité

Un bug de Facebook Messenger permet aux pirates de vous écouter avant que vous ne décrochiez

Altair D.
De Altair D. 25 novembre 2020
Partager
4 min de lecture
facebook messenger hack
Partager

Facebook a corrigé un bug dans son application Messenger pour Android, largement installée, qui aurait pu permettre à un attaquant distant d’appeler des cibles sans méfiance et de les écouter avant même qu’ils n’aient décroché l’appel audio.

La faille a été signalée à Facebook le mois dernier, le 6 octobre, par Natalie Silvanovich de l’équipe de chasseurs de bugs du Projet Zéro de Google, 90 jours après l’avoir découvert. Cette faille affecte la version 284.0.0.16.119 (et ultérieures) de Facebook Messenger pour Android.

En bref, la vulnérabilité aurait pu permettre à un attaquant connecté à l’application de lancer un appel et d’envoyer un message spécialement conçu à une cible qui est à la fois connectée à l’application et à un autre client Messenger tel que le navigateur web.

« Cela déclencherait alors un scénario où, pendant que l’appareil sonne, l’appelant commencerait à recevoir l’audio soit jusqu’à ce que la personne appelée réponde, soit jusqu’à ce que l’appel soit terminé », a déclaré Dan Gurfinkel, responsable de l’ingénierie de la sécurité sur Facebook.

Selon un rapport technique de Mme Silvanovich, la faille réside dans le protocole de description de session (SDP) du WebRTC – qui définit un format standardisé pour l’échange de médias en continu entre deux terminaux – permettant à un attaquant d’envoyer un type spécial de message connu sous le nom de « SdpUpdate » qui provoquerait la connexion de l’appel au dispositif de l’appelé avant qu’il ne réponde.

Les appels audio et vidéo via WebRTC ne transmettent généralement pas d’audio avant que le destinataire n’ait cliqué sur le bouton d’acceptation, mais si ce message « SdpUpdate » est envoyé à l’autre appareil terminal pendant qu’il sonne, « il lui fera commencer à transmettre l’audio immédiatement, ce qui pourrait permettre à un agresseur de surveiller les environs de l’appelé ».

D’une certaine manière, cette vulnérabilité est similaire à une faille d’atteinte à la vie privée qui a été signalée l’année dernière dans la fonctionnalité de chat de groupe FaceTime d’Apple, qui permettait aux utilisateurs de lancer un appel vidéo FaceTime et d’espionner leurs cibles en ajoutant leur propre numéro en tant que troisième personne dans un chat de groupe avant même que la personne à l’autre bout n’accepte l’appel entrant.

L’erreur a été jugée si grave qu’Apple a mis fin aux chats de groupe FaceTime avant d’aborder le problème dans une mise à jour ultérieure de l’iOS.

Mais contrairement au bug de FaceTime, exploiter la faille de Messenger n’est pas si aisé. L’appelant doit déjà avoir les autorisations nécessaires pour appeler une personne spécifique – en d’autres termes, l’appelant et l’appelé doivent être amis sur Facebook pour y parvenir.

De plus, l’attaque nécessite également que la personne malveillante utilise des outils de rétro-ingénierie comme Frida pour manipuler sa propre application Messenger afin de la forcer à envoyer le message personnalisé « SdpUpdate ».

Mme Silvanovich a reçu une prime de 60 000 dollars pour avoir signalé le problème, l’une des trois primes les plus élevées de Facebook à ce jour. La chercheuse de Google a déclaré qu’elle en faisait don à une association à but non lucratif appelée GiveWell.

Ce n’est pas la première fois que Mme Silvanovich trouve des failles critiques dans les applications de messagerie. Elle a déjà mis au jour un certain nombre de problèmes dans WhatApp, iMessage, WeChat, Signal et Reliance JioChat, dont certains contenaient déjà ce « dispositif d’appel pour envoyer de l’audio sans interaction de l’utilisateur ».

Vous devriez également aimer

Une faille dans Cursor : plus de 3 200 développeurs infectés via des packages npm malveillants

Alerte : Un faux plugin de sécurité WordPress utilisé pour propager un malware

Data Smuggling avec les émojis : l’astuce méconnue d’Unicode

Fuite majeure chez DeepSeek : clés API et logs dévoilés

Une campagne de malvertising cible les utilisateurs de Google Ads

TAG : bug bounty, facebook bug
Partager cet article
Facebook Twitter LinkedIn Copier le lien Imprimer
Qu´en avez-vous pensé ?
Ennuyant0
Triste0
Révoltant0
Drôle0
Accablant0
Plaisant0
Malin0
Surprenant0
Waouh0
Article précédent La Zero Emissions Transportation Association (ZETA) rassemble les plus grandes entreprises de l’automobile électrique
Article suivant php 8 update PHP 8 est maintenant disponible !
Laisser un avis

Laisser un avis Annuler la réponse

Vous devez vous connecter pour publier un commentaire.

Restez connecté

Facebook Like
Twitter Suivre
Instagram Suivre
Youtube S´inscrire
banner banner
Faites confiance à BBND
Développez tous vos projets digitaux grâce à une équipe d'experts
En savoir plus

Dernières actualités

Illustration représentant Rclone, un outil de synchronisation cloud en ligne de commande, avec une icône de cloud et flèches de transfert
Rclone : Guide complet pour synchroniser, sauvegarder et monter vos fichiers cloud
Technologie
Schéma comparatif entre IPMI, PiKVM et NanoKVM pour le contrôle à distance
IPMI, PiKVM ou NanoKVM : Quelle solution KVM choisir ?
Hardware
Des packages npm malveillants compromettent Cursor, volent des identifiants et cryptomonnaies, et déploient des chevaux de Troie. Détail des campagnes.
Une faille dans Cursor : plus de 3 200 développeurs infectés via des packages npm malveillants
Cybersécurité
Filament v3 laravel
Pourquoi Filament V3 change-t-il la donne pour les développeurs Laravel ?
Développement Web
//

Le blog BBND
Actualités et nouvelles tendances du numérique

Catégories news

  • Actualités Numériques
  • Blockchain
  • Business Intelligence
  • Cybersécurité
  • Data
  • Développement Web
  • Intelligence Artificielle
  • Hardware
  • Mobile
  • Technologie
  • Web Design
  • Web Marketing

Notre société

  • Qui sommes-nous
  • Initiatives
  • Réalisations
  • Formations
  • Recrutement
  • Contact

Liens utiles

  • Mentions légales
  • CGV
  • Politique de confidentialité

Nos services

  • Développement web/mobile/desktop
  • SEO
  • Stratégie de communication & Community management
  • Audit d’ergonomie
  • Solutions de cybersécurité
  • Outils de cybersécurité
  • E-droit & E-réputation
  • Innovation de service & Innovation technologique
  • Intelligence Artificielle & Business Intellligence
  • Design graphique
  • Jeux mobile
  • Motion design
  • Impression tout support
Le Blog de BBND – Actualités et nouvelles tendances du webLe Blog de BBND – Actualités et nouvelles tendances du web
Suivez-nous

© 2023 BBND. All Rights Reserved.

Un projet digital ?

Notre équipe d'experts couvre de larges domaines du numérique

Contactez-nous pour nous en faire part !

Supprimé de la liste de lecture

Annuler
Welcome Back!

Sign in to your account

Mot de passe perdu ?