Alors que Facebook doit s’occuper d’une fuite critique de 533 millions de numéros de téléphone et que WhatsApp doit lutter contre un malware capable de dérober les coordonnées bancaires, la chercheuse en sécurité informatique Natalie Silvanovich vient rajouter son grain de sel. Cette experte travaille notamment pour le Google Project Zero, une équipe composée des meilleurs hackers au monde.
Sur Twitter, la chercheuse explique avoir trouvé des failles de sécurité critiques sur plusieurs applications de messagerie instantanée comme Facebook Messenger, Google Duo ou Signal. « J’ai trouvé des bugs qui permettent de transmettre l’audio et la vidéo sans le consentement de l’utilisation sur cinq applications mobiles, dont Signal, Google Duo et Facebook Messenger », précise-t-elle sur le réseau social.
AnnonceI found logic bugs that allow audio or video to be transmitted without user consent in five mobile applications including Signal, Duo and Facebook Messenger https://t.co/PlB0PzLzjJ
— Natalie Silvanovich (@natashenka) January 19, 2021
Tout part de FaceTime Video
D’après elle, ces failles sont similaires à celles détectées dans FaceTime Video en 2019. En effet, cette vulnérabilité permettait à un pirate d’espionner les utilisateurs d’iPhone, sans avoir besoin de les appeler. De plus, un attaquant avait la possibilité de s’intégrer dans une conversation de groupe, à l’insu de l’administrateur. Après plusieurs mois de recherches, l’experte confirme ses craintes : des bugs identiques ont été repérés dans Signal, Messenger, Google Duo, JioChat ou encore Mocha. Sur Twitter, elle détaille les différentes possibilités offertes par ces failles une fois exploitées par des pirates :
- Sur Signal : possibilité pour un attaquant d’entendre l’environnement ambiant de sa cible
- Sur JioChat et Mocha : possibilité pour un attaquant de forcer l’appareil visé à transmettre des flux vidéo et audio à l’insu de l’utilisateur
- Sur Messenger : Possibilité de recevoir l’audio en permanence d’un appareil visé
- Google Duo : Possibilité d’accéder à des paquets audio et vidéo d’un utilisateur ciblé
Comme le précise Natalie Silvanovich, Signal a été le premier à corriger cette faille en 2019. Les autres applications de messagerie instantanée ont en revanche tardé à le faire. Les équipes de JioChat et Mocha n’ont réglé le problème que durant l’été 2020, tandis que Facebook et Google ont attendu la fin de l’année 2020 pour s’en charger. Et comme à chaque fois, nous sommes prévenus très tard…
Sur Twitter, la chercheuse explique s’être concentrée sur les applications qui cumulent plus de 10 millions d’installations sur le Google Play Store. En d’autres termes, cela suggère que des applications de chat plus modestes peuvent elles aussi souffrir des mêmes vulnérabilités. De fait, restez vigilant et mettez régulièrement à jour vos applis de messagerie instantanée. Vous pouvez aussi ajouter une couche de chiffrement à toutes vos applis en passant par un VPN. Le très bon ProtonVPN propose des tarifs entre 4 € et 8 €/mois en fonction des options que vous choisissez, mais si vous désirez un meilleur rapport qualité/prix nous vous conseillons l’excellent CyberGhost à seulement 2 € par mois…
Source : Futura Tech
