Vos messages vocaux Facebook vulnérables aux attaques MitM

By | January 18, 2017

Vos messages vocaux Facebook vulnérables aux attaques MitM

Un chercheur en sécurité a trouvé une nouvelle faille dans le système de sécurité de Facebook qui permettrait aux pirates d’écouter vos messages vocaux.

Les messages vocaux que vous partagez à travers votre application Facebook Messenger sont vulnérables aux attaques du type MitM. Ce hack a récemment été découvert par Mohamed Abdel Baset, chercheur en sécurité égyptien, qui avait déjà découvert une faille sur le code qr.

A chaque fois qu’une personne enregistre un message vocal et l’envoie à une autre personne, ce fichier audio est d’abord uploadé sur les CDN appartenant à Facebook. Ensuite, le fichier est servi à la fois au destinataire et à l’expéditeur. Ces transferts s’effectuent habituellement via HTTPS.

Considérez un scénario où un attaquant ayant accès à votre réseau lance une attaque MitM avec SSL Strip. Ce pirate sera en mesure de rétrograder les connexions HTTPS vers les CDN de Facebook en HTTP.
Cela lui permettra d’en extraire les liens absolus _ y compris les tokens d’authentification inclus dans les URL _ de tous les fichiers qui seront échangés.

Le HSTS est une récente technologie qui améliore la sécurité sur Internet en forçant vos navigateurs d’accéder aux sites Web uniquement à travers les connexions sécurisées HTTPS. Facebook n’implémente pas cette technologie avec ses CDN.

Ajouté à cela, Facebook manque aussi un système d’authentification efficace. Si un fichier est par exemple partagé entre deux utilisateurs, il ne devrait pas être accessible par une tierce personne.
Pourtant des fichiers restent exposés à des accès non-autorisés comme a pu le démontrer Abdel Baset.
Par ailleurs, le message vocal extrait de l’attaque MiTM exécutée pas Abdel Baset est toujours accessible à cette adresse.

Bien que la compagnie américaine ait reconnu ce bug, aucun patch n’a encore été livré.
Ci-dessous, vous verrez la vidéo démo par Mohamed Abdel Baset.

mdestroy

Source :
TheHackerNews.com

Leave a Reply

Your email address will not be published. Required fields are marked *