Mise à jour en bas de page avec un communiqué de Yahoo!
Laissé à l'abandon depuis plusieurs années, le logiciel Yahoo! Messenger comporte une vulnérabilité que Yahoo! refuse de corriger.
Depuis l'arrivée de Marissa Mayer à la tête du portail Yahoo!, la société ne jure que par la croissance des usages mobiles. La firme de Sunnyvale a ainsi multiplié les applications et récemment présenté Yahoo! LiveText, une messagerie combinant le texte à la vidéo, sans le son. Celle-ci est issue du rachat de MessageMe en octobre 2014
Toutefois Yahoo! n'a pas pris le parti d'assurer la compatibilité avec Yahoo! Messenger, dont la dernière mouture stable date de mars 2012. Depuis plus de trois ans, le logiciel n'a reçu aucune mise à jour et comporte d'ailleurs toujours l'ancien logo de la société. Aucun chiffre récent n'a été communiqué par Yahoo! sur sa base d'utilisateurs mais le portail dans sa globalité compte 800 millions d'utilisateurs et le service est intégré au sein de Yahoo! Mail.
Puisque l'application est en fin de vie, Yahoo refuse de corriger un bug. C'est en tout cas ce que rapporte le hacker Julien Ahrens (via The Register). Estampillée sous l'appellation CVE-2014-7216, la vulnérabilité en question a été découverte en mai 2014 et les détails de celle-ci ont récemment été rendus publics.
Concrètement, un hacker peut proposer au téléchargement un fichier malveillant prenant l'apparence d'un ensemble d'émoticônes. Ce document XML effectuerait un dépassement de tampon ouvrant une porte permettant d'exécuter du code malveillant.
Notons au passage que Julien Ahrens affirme ne pas avoir reçu de récompense par Yahoo dans le cadre de son programme de chasse aux bugs... quand bien même l'application est toujours mentionnée au sein des conditions d'utilisation de la société.
Pour rappel, en 2014 nous apprenions que l'agence de renseignements britannique GCHQ ainsi que la NSA avaient hacké Yahoo! Messenger en capturant des images de la webcam issues des flux de conversations vidéo à raison d'un cliché toutes les 5 minutes.
Mise à jour :
La société Yahoo! s'est exprimée sur cette affaire et nous transmet le communiqué ci-dessous :
« Yahoo! prend la sécurité de ses utilisateurs très au sérieux et dès que nous avons été mis au courant de cette vulnérabilité potentielle, notre équipe a contacté le chercheur en sécurité et commencé une enquête. Comme le chercheur le note lui-même, "l'exploitation (de cette vulnérabilité) peut être complexe" et poserait de nouveaux obstacles technologiques. Au travers d'une enquête approfondie par notre équipe, nous avons déterminé que cette vulnérabilité n'était pas facilement exploitable et nécessite que les utilisateurs installent volontairement un logiciel tiers non supporté au sein de Messenger. (Elle) ne présente pas de menace de sécurité viable pour nos utilisateurs. Nous continuerons à travailler avec notre communauté florissante impliquée dans la chasse aux bugs pour assurer l'expérience la plus sécurisée possible pour nos utilisateurs »
La société Yahoo! s'est exprimée sur cette affaire et nous transmet le communiqué ci-dessous :
« Yahoo! prend la sécurité de ses utilisateurs très au sérieux et dès que nous avons été mis au courant de cette vulnérabilité potentielle, notre équipe a contacté le chercheur en sécurité et commencé une enquête. Comme le chercheur le note lui-même, "l'exploitation (de cette vulnérabilité) peut être complexe" et poserait de nouveaux obstacles technologiques. Au travers d'une enquête approfondie par notre équipe, nous avons déterminé que cette vulnérabilité n'était pas facilement exploitable et nécessite que les utilisateurs installent volontairement un logiciel tiers non supporté au sein de Messenger. (Elle) ne présente pas de menace de sécurité viable pour nos utilisateurs. Nous continuerons à travailler avec notre communauté florissante impliquée dans la chasse aux bugs pour assurer l'expérience la plus sécurisée possible pour nos utilisateurs »