Facebook Messenger, Signal : Google découvre plusieurs failles de sécurité permettant d’espionner les utilisateurs
Facebook Messenger, Signal, Google Duo, Mocha ou JioChat… Ces services de messagerie instantanée abritaient des failles de sécurité critiques, qui permettaient d'écouter l'utilisateur avant même qu'il ne réponde à l'appel. Ce sont les chercheurs du Google Project Zero qui ont révélé ces vulnérabilités.
Une chercheuse en sécurité informatique du Google Project Zero fait de découvrir une série de failles de sécurité graves sur plusieurs applications de messagerie instantanée, comme Facebook Messenger, Google Duo ou Signal. “J'ai trouvé des bugs qui permettent de transmettre l'audio et la vidéo sans le consentement de l'utilisateur sur cinq applications mobiles, dont Signal, Google Duo et Facebook Messenger”, écrit Natalie Silvanovich sur Twitter.
Tout part d'un bug sur FaceTime Video repéré en 2019. Souvenez-vous, cette faille permettait à un pirate d'espionner les utilisateurs d'iPhone, sans que ces derniers n'aient besoin de décrocher. En outre, un attaquant était également en mesure d'afficher le menu des options et s'ajouter à une conversation de groupe, à l'insu des utilisateurs.
I found logic bugs that allow audio or video to be transmitted without user consent in five mobile applications including Signal, Duo and Facebook Messenger https://t.co/PlB0PzLzjJ
— Natalie Silvanovich (@natashenka) January 19, 2021
À lire également : Android – une faille de sécurité permet d'espionner tous vos appels
Et si la faille de FaceTime Video se retrouvait sur d'autres applis ?
Après la polémique engendrée par cette affaire, Natacha Silvanovich s'est tout simplement demandé s'il était possible de retrouver des failles similaires sur d'autres services de messagerie instantanée. Après plusieurs mois d'analyses approfondies, la chercheuse en sécurité informatique a effectivement déniché plusieurs vulnérabilités de ce type dans Signal, JioChat, Mocha, Facebook Messenger ou encore Google Duo. Voici dans le détail ce que permettaient ces failles :
- Signal : Une faille dans l'application Android de Signal permettait à un attaquant d'entendre l'environnement du destinataire
- JioChat et Mocha : possibilité pour un attaquant de forcer l'appareil cible à envoyer des flux audio et vidéo sans le consentement de l'utilisateur. Cette vulnérabilité provenait du fait que la connexion peer-to-peer avait été établie avant même que le destinataire ne réponde à l'appel
- Facebook Messenger : Possibilité pour un attaquant connecté à l'appli de lancer simultanément un appel et envoyer un message vérolé à une cible connectée à la fois à l'application mobile et à un autre support (la version Web de Messenger par exemple) et de recevoir l'audio de l'appareil appelé
- Google Duo : Une situation de compétition (ndrl : il s'agit d'une situation caractérisée par un résultat différent selon l'ordre dans lequel agissent les acteurs du système en informatique) entre la désactivation de la vidéo et la mise en place de la connexion, qui dans certaines situations, peut entraîner la fuite de paquets vidéo après plusieurs appels sans réponse
Comme le précise Natalie Silvanovich, toutes ces failles ont été corrigées par les développeurs respectifs de ces applications. Signal s'en est occupé en juin 2019, JioChat et Mocha durant l'été 2020, tandis que Facebook et Google ont réglé les problèmes sur Messenger et Google Duo en fin d'année 2020.
Source : Google Project Zero