Voici Pourquoi L’Application Facebook Messenger Est Dangereuse

Si vous faites partie du milliard de personnes qui utilisent Facebook Messenger, il serait judicieux de choisir une autre application, car contrairement à WhatsApp, Messenger ne dispose pas de la sécurité nécessaire pour protéger votre contenu.

En effet, tout ce que vous envoyez sur Messenger passe par les serveurs de Facebook. Et nous savons que Facebook « espionne » ce contenu pour s’assurer que vous respectez ses règles, mais un nouveau rapport de sécurité affirme que l’entreprise télécharge également votre contenu privé sur ses propres serveurs sans aucun avertissement.

Tommy Mysk et Talal Haj Bakry ont poussé Apple à intégrer les avertissements d’accès au presse-papiers qui sont une partie si célèbre d’iOS 14 ; leurs recherches ont également surpris TikTok en train d’espionner les presse-papiers des utilisateurs d’Apple, ce qui fait partie du contrecoup technique qui a finalement conduit à l’action américaine contre la plateforme virale chinoise.

Ces chercheurs avaient initialement entrepris d’étudier la manière dont les différentes plateformes de messagerie géraient les « aperçus de liens ». Lorsque vous envoyez un lien vers un site web, un article d’actualité ou tout autre contenu en ligne, y compris des documents privés, le destinataire de votre message voit souvent un aperçu de ce contenu. Il est clair que cela nécessite de suivre le lien quelque part et d’une manière ou d’une autre, et de renvoyer ses données. La manière dont cela est fait est cependant cruciale. Si vous vous trompez, les plateformes de messagerie peuvent accéder à des données privées, télécharger des informations personnelles sur leurs serveurs, voire même révéler l’emplacement des utilisateurs.

À ce sujet, ils ont déclaré : « Nous pensons que les aperçus de liens aide à comprendre comment une simple fonctionnalité peut être dangereuse pour la vie privée et la sécurité des utilisateurs ». Alors que Tommy Mysk et Talal Haj Bakry ont constaté qu’un certain nombre de plateformes de messagerie ne présentent aucun risque pour les aperçus de liens, y compris, quelque peu ironiquement, TikTok et WeChat.

Les principaux messagers cryptés de bout en bout tels que WhatsApp et iMessage, génèrent quant à eux des aperçus de liens du côté de l’expéditeur : « Lorsque vous envoyez un lien, votre propre messagerie va télécharger le contenu du lien, elle créera un résumé et une image de prévisualisation du site web, et l’enverra en pièce jointe avec le lien ». D’après les chercheurs, ce type d’aperçu de lien est sûr parce que le récepteur serait protégé contre les risques (si le lien est malveillant).

L’approche opposée est celle des aperçus de liens du côté du récepteur, et qui est dangereuse, car n’importe qui peut vous envoyer un lien malveillant que votre appareil pourrait suivre automatiquement pour télécharger un logiciel malveillant ou qui pourrait divulguer votre adresse IP et trahir votre emplacement. Tommy Mysk et Talal Haj Bakry n’ont trouvé que deux messagers qui ont adopté cette approche, tous deux sont en train de corriger cette vulnérabilité.

Ce qui nous amène à la dernière option, l’approche Facebook Messenger : l’aperçu des liens côté serveur. Comme l’explique le rapport : « Lorsque vous envoyez un lien, l’application l’enverra d’abord à un serveur externe et lui demandera de générer un aperçu, puis le serveur renverra l’aperçu à l’expéditeur ainsi qu’au destinataire ». Mais il s’agit là d’un cauchemar potentiel en matière de sécurité, comme l’explique Tommy Mysk : « Facebook Messenger ne fournit pas du tout d’aperçu des liens dans ses conversations secrètes, qui sont cryptées de bout en bout. Toutes les vulnérabilités que nous avons découvertes dans Facebook Messenger se produisent dans des conversations normales. Cela montre en quelque sorte que Facebook admet que la façon dont les aperçus de liens sont traités dans les chats normaux peut avoir un impact sur la vie privée des utilisateurs ».

Comme l’expliquent les chercheurs dans leur rapport : « les liens partagés dans les chats peuvent contenir des informations privées destinées uniquement aux personnes qui les reçoivent. Il peut s’agir de factures, de contrats, de dossiers médicaux ou de tout autre document confidentiel… Bien que l’application fasse confiance à ces serveurs, rien n’indique aux utilisateurs que les serveurs téléchargent ce qu’ils trouvent dans un lien. Les serveurs téléchargent-ils des fichiers entiers, ou seulement une petite quantité pour afficher l’aperçu ? S’ils téléchargent des fichiers entiers, les serveurs en gardent-ils une copie, et si oui, pendant combien de temps ? Et ces copies sont-elles stockées en toute sécurité, ou les personnes qui gèrent les serveurs peuvent-elles y accéder ?

Un certain nombre de plateformes de messagerie adoptent cette approche dont Facebook Messenger, Instagram, LinkedIn, Slack, Twitter, Zoom et Google Hangouts. Mais seules les plateformes de Facebook ont déjà téléchargé des fichiers d’environ 2,5 G.o, bien plus que la taille nécessaire pour une simple prévisualisation, tandis que d’autres s’arrêtaient à 20 à 50 Mo.

Bien que ce problème ne se limite pas à Facebook Messenger, c’est la seule application de messagerie grand public testée qui adopte cette approche avec les données privées des utilisateurs, quelle que soit la taille du fichier. La plupart des autres plateformes utilisant ce type d’aperçu de liens ne sont pas des messagers dédiés en tant que tels, plus de fournisseurs de DM au sein d’autres services.

Les chercheurs affirment également avoir découvert qu’Instagram exécuterait un code même s’il menait vers un site malveillant. Voici ce qu’ils ont déclaré : « Nous avons prouvé à Facebook qu’une personne malveillante pouvait exécuter n’importe quel code JavaScript sur ses serveurs en envoyant des liens vers un site web malveillant. Cependant, l’entreprise a rejeté nos preuves en disant que ses équipes avaient mis en place des mécanismes anti-abus afin d’arrêter les individus malveillants ».

Pour les utilisateurs de ces plates-formes de messagerie, la clé du succès est évidente. Si vous envoyez des messages privés ou personnels, assurez-vous d’utiliser une plateforme cryptée de bout en bout pour le faire. Cela devrait montrer à quel point il est facile pour une plateforme qui n’offre que le cryptage d’un serveur d’application d’accéder à votre contenu. Mais nous savons déjà que Facebook lit les contenus non cryptés, la seule surprise est qu’elle les télécharge sur ses propres serveurs.

En réponse au nouveau rapport, Facebook a déclaré à Forbes US : « Ce ne sont pas des failles de sécurité. Le schéma décrit est la façon dont nous montrons des aperçus d’un lien sur Messenger ou comment les gens peuvent partager un lien sur Instagram, et nous ne stockons pas ces données. Cela est conforme à notre politique en matière de données et à nos conditions de service ». L’entreprise a également déclaré que des mesures de sécurité supplémentaires étaient prises en coulisses, pour se protéger contre les attaques par exécution de code à distance.

En outre, l’entreprise Facebook elle-même est l’une des principales défenseuses du cryptage de bout en bout dans le monde. Elle a lancé des conversations secrètes sur Messenger pour atténuer le risque de compromettre sa propre infrastructure. Pour des raisons techniques, cependant, elle ne peut pas en faire le choix par défaut.

Ce nouveau rapport montre ce que tout cela signifie en pratique. Ainsi, si vous vous en tenez strictement à une plateforme de messagerie mal sécurisée, y compris Facebook Messenger ou, pire encore, les SMS, il est temps de passer à autre chose. WhatsApp reste un bon choix au quotidien avec une énorme base d’utilisateurs et toutes les fonctionnalités dont vous avez besoin, malgré la campagne de monétisation de Facebook. Mais il est clair qu’il existe des options encore plus sûres si vous voulez échapper complètement à Facebook.

Article traduit de Forbes US – Auteur : Zak Doffman

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici