Chrome et Firefox ont permis à des sites malveillants d’aspirer votre profil Facebook privé

Chrome et Firefox ont permis pendant plus d'un an à des sites malveillants d'aspirer votre profil Facebook privé. Les informations, qui incluent les noms d'utilisateurs, photos de profil, et likes, étaient accessibles même si l'utilisateur avait rendu son. La faille a été colmatée à partir de la version 63 de Chrome et de Firefox 60. Les chercheurs à l'origine de la découverte préviennent que ce type de faille pourrait néanmoins réapparaître à cause des fonctionnalités qui sont constamment ajoutées à HTML 5 et CSS 3. 

Une faille de sécurité du moteur HTML 5 et CSS3 de Chrome et Firefox a permis pendant un an à des hackers d'aspirer des comptes Facebook à l'insu des utilisateurs. Entre autres données qui doivent normalement rester inaccessibles à des sites tiers. Facebook est un cas intéressant car lorsque l'on est connecté sur le site, notre profil privé n'est normalement pas accessible. Ici, d'ailleurs, les données ne pouvaient pas être directement extraites : un dispositif de sécurité interdit en effet heureusement à des sites tiers d'afficher et donc d'exploiter du contenu issu de votre compte Facebook.

Chrome et Firefox laissaient des hackers aspirer votre compte Facebook privé

Mais les chercheurs ont su exploiter HTML 5 et CSS 3 pour ouvrir la page profil de la victime dans iframe et réinterpréter son contenu, permettant ainsi de récupérer des photos, du texte, et les likes d'un visiteur. La faille a été depuis tant bien que mal colmatée dans Chrome 63 et Firefox 60. Dario Weißer, l'un des chercheurs à l'origine de la découverte prévient néanmoins : “CSS, HTML et JavaScript ont de nombreuses fonctionnalités pour faire des choses graphiques. Je ne serais pas surpris si il existe encore des problèmes [de ce type, ndlr] inconnus”.

L'astuce des chercheurs, c'est d'invoquer des plugins sociaux (boutons avec le texte “Suivez-moi sur Facebook”), ce qui leur a permis d'ouvrir côté serveur un iframe avec des détails normalement privés sur les comptes des visiteurs. Un code HTML 5 et CSS 3 permet ensuite de faire de la reconnaissance d'image et de texte pour extraire ces données : “on ne peut pas accéder au contenu de l'iframe directement. Cependant on peut y superposer une couche dans laquelle on tente d'interagir graphiquement avec les pixels en dessous”, expliquent les chercheurs.

Et d'ajouter : “comme cette couche est contrôlée par le site de l'attaquant, il est possible de mesurer le temps que prend cette interaction graphique. Certains modes mix-blend [de CSS3 ndlr] nécessitent un temps de traitement variable en fonction de la couleur du pixel […] on n'extrait pas le HTML, mais le contenu visuel de l'iframe visé”. Outre Facebook, les chercheurs pensent que des sites malicieux ont pu exploiter cette faille pour d'autres services du web. Bien sûr cette faille serait anecdotique si les services du web en question ne savaient pas tout de nous…