Cette fois-ci, ce n'est pas la faute de Facebook, mais d'une faille dans les navigateurs Firefox et Chrome qui a permis à des sites tiers malveillants de récolter des informations Facebook.
Une vulnérabilité existante depuis 2016
Les chercheurs, Dario Weißer et Ruslan Habalov, ont révélé la présence d'une faille dans le système depuis 2016 sur les navigateurs web, Chrome et Firefox. Elle permettait de divulguer les noms des utilisateurs Facebook, les images de profil et les likes des utilisateurs s'ils consultaient des sites Web malveillants qui utilisent un hack de pointe. Cette vulnérabilité provient d'une fonctionnalité Web qui avait été introduite dans la norme CSS (Cascading Style Sheet) en 2016. S'appelant « mix-blend-mode », elle faisait fuiter les informations et transférait les pixels de la page Facebook dans un « iframe ».Ce type d'attaque est appelé « attaque par canal auxiliaire », c'est-à-dire une attaque informatique qui recherche et exploite des failles dans leur implémentation, logicielle ou matérielle. Le hack analyse directement chaque pixel de notre profil Facebook. Pour le texte, il utilise la reconnaissance optique de caractères pour extraire des noms, des messages ou autres types de contenus. Et tout cela se fait par un ordinateur en à peine une vingtaine de secondes et en cinq minutes pour extraire un rendu brut de la photo de profil du visiteur.
Mais ce type de vulnérabilité pourrait revenir
Le problème a finalement été résolu en décembre 2017 dans la version 63 de Chrome et cette année dans Firefox 60, après que les deux chercheurs ont fait part de leur trouvaille auprès de Facebook, Google et aux créateurs de la bibliothèque graphique Skia utilisée par Chrome. Les navigateurs Internet Explorer et Edge de Microsoft n'ont pas été touchés par cette faille, car ils n'avaient pas implémenté le « mix-blend-mode ». Le navigateur d'Apple, Safari, n'a pas été touché non plus mais on ne sait pas pourquoi. La vulnérabilité a donc été corrigée, mais cela a laissé de nombreuses personnes sans protection de 2016 à 2017.Le problème a certes été corrigé, mais Dario Weißer et Ruslan Habalov estiment que ce n'est qu'un début. Selon eux, ce type d'attaque pourrait revenir en raison de l'évolution constante de la technologie et de l'informatique qui donnerait encore plus de chances à de telles vulnérabilités d'apparaître de nouveau.