Intégration Skype/Facebook : découverte d'une vulnérabilité

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 02 août 2011 à 10h34
0064000003711620-photo-skype-logo-mac-mikeklo.jpg
La dernière mise à jour proposée par l'équipe de Skype sur le système Windows présenterait une faille de sécurité relativement importante.

En dévoilant la version 5.5 de son logiciel de VoIP, Skype annonçait une meilleure intégration du réseau Facebook apportant davantage d'interactivité avec le fil de mises à jour de ses contacts. Si les adeptes de Facebook apprécieront, cette nouvelle fonctionnalité n'est pas sans risques.

En effet, une nouvelle vulnérabilité, découverte par le chercheur David Vieira-Kurz du cabinet SecAlert et rapportée par The Register exploite ainsi une technique bien connue qui vise à injecter du JavaScript directement au sein des messages de statut et des mises à jour de Facebook. Le client Skype n'apposerait effectivement pas de filtres et il serait possible de récupérer les cookies de la session Skype et donc d'accéder à une archives des communications effectuées par la victime. Cette méthode permettrait également d'inviter la victime à visiter un site fruduleux.

Cette nouvelle faille a été découverte quelques jours seulement après que Skype a annoncé la correction d'une autre faille identique pouvant se traduire par une attaque de type XSS.

Voici ci-dessous la vidéo de démonstration mise au point par M. Vieira-Kurz :

Guillaume Belfiore
Rédacteur en chef adjoint
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles