Le chercheur en sécurité Roman Zaikin de la société CheckPoint spécialisé dans la sécurité en informatique a découvert une faille de sécurité permettant à un attaquant de contrôler Facebook Messenger par l’application en ligne et mobile.

Lors de nos conversations sous Facebook Messenger, un paramètre d’identifiant unique appelé MESSAGE_ID est généré pour chaque message envoyé, le but de l’attaquant est de récupéré le MESSAGE_ID.

Une fois le MESSAGE_ID récupéré, il peut se faire passer par la victime, et infecter les contacts de l’utilisateur.

Pire encore, grâce à cette faille, l’attaquant peut avoir accès à la totalité du chat, modifier l’historique, changer le fil d’une discussion,diffuser un logiciel malveillant tel que les ransomwares, voire vous apporter des problèmes en divulguant des contenus indésirables et encourir à des poursuites juridiques.

Le chercheur Roman Zaikin montre par un exemple en utilisant logiciel Burp suite*, comment un attaquant pouvait exploiter la faille. Il a trouvé le paramètre MESSAGE_ID après avoir envoyé une requête à www.facebook.com/ajax/mercury/thread_info.php :


Dans cette autre exemple, Roman Zairi montre comment un attaquant peut modifier le message ou envoyé un lien afin d’infecter sa cible :



Ensuite rien de plus simple pour l’attaquant de diffuser un ransomware et faire des dégâts.

Voici la démonstration complète en vidéo:

Démonstration de Roman Zaikin

Facebook a été averti et on rapidement patché la faille, donc pas d’inquiétude, enfin jusqu'à la nouvelle faille.

Source : Checkpoint

*Burp suite : Plateforme permettant d’effectuer des tests de sécurité sur des applications Web, en analysant ou en modifiant des requêtes Web. Efficace pour rechercher les failles de types XSS, manipulation d’en tête, etc…