Posté le novembre 20, 2020 à 15:05
UN BUG DE LA MESSAGERIE FACEBOOK AURAIT PU PERMETTRE AUX HACKERS D’ÉCOUTER AUX PORTES
Le programme de récompenses en espèces de Facebook pour les chercheurs en sécurité qui révèlent une vulnérabilité existe depuis près de 10 ans.
Le géant des réseaux sociaux a réussi à éviter bien des maux de tête liés à ces vulnérabilités si elles étaient découvertes par les acteurs malveillants.
Bien que Facebook ait toujours été confronté à certains défis, en particulier les problèmes liés à la vie privée, un point positif a été le programme de primes aux bogues. Deux des plus grandes récompenses du programme ont été versées cette année.
L’une de ces récompenses est la somme de 60 000 dollars versée à un chercheur pour avoir découvert un bug dans Messenger. Cette vulnérabilité aurait pu permettre à un acteur malveillant d’appeler ses victimes et d’écouter leur conversation avant même qu’elles ne choisissent l’appel.
La vulnérabilité a été découverte par un membre de l’équipe de chasseurs du projet Google, Natalie Silnavovich. Il existe déjà un correctif pour la vulnérabilité. Mais un attaquant pourrait avoir exploité la vulnérabilité s’il appelait simultanément une cible et lui envoyait un message invincible spécialement conçu pour déclencher l’attaque.
Une fois qu’il l’a reçu, le hacker peut écouter l’audio du côté de la cible aussi longtemps que le téléphone sonne.
Facebook a ajusté son infrastructure pour corriger le bug
Bien que la chose la plus courante à faire après avoir découvert un bug soit un correctif, Facebook n’a pas suivi cette voie. L’entreprise a plutôt ajusté son infrastructure côté serveur afin de corriger la faille pour tous les utilisateurs. Facebook a également découvert que personne n’a exploité le bug, ce qui est une bonne nouvelle pour les utilisateurs.
M. Silvanovich a déclaré que la récompense de Project Zero pour le bug n’était pas ce qui l’avait motivé à faire des recherches et a révélé la vulnérabilité.
Le programme de prime aux bogues est également l’un des meilleurs et des plus rémunérateurs. Pour une divulgation typique d’une vulnérabilité de sécurité moins critique qui aurait rapporté 5 000 dollars si elle avait été découverte dans d’autres entreprises, Facebook aurait attribué le triple de cette somme.
Le sérieux du programme de prime en fait l’un des programmes les plus populaires auprès des chercheurs en sécurité. Facebook a permis aux participants de rester très motivés dans le cadre du programme de primes aux bogues. Et une telle approche a donné d’excellents résultats pour l’entreprise.
La somme d’argent versée à ces chercheurs lorsqu’ils découvrent une vulnérabilité ne peut pas équivaloir au niveau des dommages que la vulnérabilité aurait causés si elle avait été découverte par des hackers immoraux.
Au cours des dix dernières années, depuis le lancement du programme, plus de 1 300 vulnérabilités ont été signalées, avec des versements de 11,7 millions de dollars à ce jour. Rien que cette année, Facebook a versé 1,98 million de dollars sur plus de 1 000 soumissions.
Le bogue est similaire à la vulnérabilité d’Apple qu’il a corrigée l’année dernière sous le nom de « FaceTime group calls« .
Dan Gurfinkel, responsable de l’ingénierie de la sécurité sur Facebook, a parlé de cette vulnérabilité. « Ce que vous verriez, c’est l’attaquant qui vous appelle et ensuite le téléphone qui sonne et ils pourraient écouter », a-t-il dit.
Il a également révélé qu’elle avait été corrigée. « Nous avons rapidement corrigé ce problème avant qu’il ne soit exploité », a répété M. Gurfinkel.
La vulnérabilité a nécessité la méthode de reverse-engineering pour être exploitée
Il aurait été difficile d’exploiter cette vulnérabilité pour une raison quelconque, puisque l’attaquant et la cible doivent être connectés à Facebook pour Android.
Bien qu’il soit similaire au bogue de FaceTime, un utilisateur régulier n’aurait pas pu exploiter la vulnérabilité de Facebook sans utiliser une technique sophistiquée. L’attaquant aurait eu besoin d’outils techniques de reverse-engineering ou ingénierie inverse pour délivrer le second message spécial.
Et pour que l’attaque soit réussie, l’appelant et la cible devraient être des amis sur Facebook.
Il est donc plus difficile de trouver la bonne personne à appeler. Mais il n’en reste pas moins qu’avec les milliards d’utilisateurs actifs de Facebook, il pourrait être possible d’obtenir une population cible répondant à presque tous les paramètres.
M. Silvanovich a déclaré qu’il avait commencé ses investigations sur le bug de Facebook après la découverte d’un bug similaire dans FastTime l’année dernière. Il a également déclaré que d’autres bogues similaires existent sur d’autres plateformes de vidéoconférence.
Quatre vulnérabilités ont déjà été découvertes et corrigées grâce aux recherches de Silvanovich, qui incluent JioChat, Mocha et Signal.
Il a déclaré qu’il est toujours à la recherche d’autres vulnérabilités qui pourraient exister dans d’autres applications.
En dehors de Facebook, d’autres entreprises du secteur technologique comme Apple ont également leurs programmes de primes aux bugs. Le programme est devenu un moyen très efficace de garder leurs systèmes sécurisés et exempts de toute vulnérabilité pouvant être exploitée.
