Facebook : les pirates peuvent facilement espionner vos messages audio
Facebook, vulnérable aux hackers ? Nos confrères de The Hacker News rapportent qu’il est possible d’écouter tous les messages audio des conversations sur Facebook grâce à une simple attaque MiTM. Facebook et WhatsApp permettent en effet via une icône en forme de micro d’envoyer des messages audio à ses destinataires.
Un chercheur en sécurité égyptien, Mohamed A. Baset a mis en évidence une vulnérabilité de Facebook Messenger, ou plus précisément de sa fonctionnalité permettant d’envoyer des messages audio. N’importe quel hacker, même noob, pourrait ainsi avoir accès à l’intégralité des messages audio de sa victime.
En fait à chaque fois que vous enregistrez un message audio, le fichier est envoyé sur les serveurs CDN de Facebook (https://z-1-cdn.fbsbx.com/…) qui sert le fichier pour vos destinataires. On remarque la présence d’HTTPS, censé compliquer l’attaque à distance. Ce lien absolu contient des tokens d’authentification.
Maintenant imaginez que vous puissiez obtenir ce lien absolu, soit via une attaque MiTM (Man-In-The-Middle). Il est alors possible de downgrader le protocole HTTPS vers du HTTP classique et de télécharger directement les fichiers audio. Avec cette méthode, un attaquant peut espionner tous les échanges audio de ses victimes sans que celles-ci ne s’en rendent compte,.
De fait, Facebook n’a pas encore patché cette faille, liée aux spécificités du protocole HTTPS. Facebook est en effet en train de passer au protocole de transfert plus sécurisé HSTS (HTTP Strict Transport Security). Celui-ci force les navigateurs a passer par du HTTPS en interdisant le transfert entre un serveur sécurisé et non sécurisé.
Mohamed Baset a contacté Facebook à propos de cette faille “il y a longtemps” mais aurait eu une fin de non recevoir. Le réseau social estime en effet que cet upgrade de sécurité, en cours de déploiement pour l’ensemble de ses services, ne qualifie pas le White Hat à l’obtention d’une récompense pour sa trouvaille. En voici une démonstration en vidéo :