Facebook Messenger : quand une vulnérabilité permettrait de détourner les conversations ! (je suis ton père)

On n’est jamais certain de l’effet escompté quant à l’annonce d’une nouvelle… Alors, si en plus l’annonce en question est modifiée voire détournée par un individu malveillant, cela n’ira sans doute pas en s’arrangeant, notamment quand on utilise l’application Messenger de Facebook qui a été touché par un malware permettant à un individu de prendre le contrôle à distance d’une conversation instantanée en modifiant le contenu de cette dernière !

 

Facebook messenger_logo 1

 

En effet, comme expliqué sur le blog sécuritaire de CheckPoint le 7 Juin, le malware, baptisé « MalicousChat » pour l’occasion (puisqu’il concernait la conversation instantanée sur Messenger alias « chat » pour les intimes), sévissait toutes versions confondues (version bureau ou version mobile) et permettait d’avoir la main mise, non seulement dans l’absolu (altération du texte dans la fenêtre de conversation) mais aussi en arrière-plan (modification des historiques de conversations, URL malicieuses / infectieuses de type phishing), permettant, dès lors, à une personne malintentionnée de prendre le contrôle à distance du poste ciblé pour éventuellement se garder un contrôle à distance à tout moment. De plus, on l’aura facilement compris : modifier la conversation ou encore les historiques alimente le flou à l’égard de la victime qui doutera elle-même de ses propres propos antérieurs, chose inquiétante notamment pour prouver des faits ou des dires dans le cadre d’affaire professionnelles ou juridiques.

 

Facebook messenger_malware chat IDFacebook messenger_malware chat POC ransomware
A gauche : la requête « www.facebook.com/ajax/mercury/thread_info.php » révèle l’ID du message ciblé,
A droite : Modification du message en vue de l’exécution d’un ransomware (POC).

Mise en lumière par Roman Zaikin, le malware prend sa source grâce aux identifiants individuels créée pour chaque message (« Message_id ») sur l’application bureau ou mobile… Une configuration qui, si elle permet de retrouver chaque ligne indépendamment l’une de l’autre peut, également et preuve en est avec cette faille, constituer un point faible sécuritaire : « un attaquant peut stocker cette requête, contenant l’identifiant, via un proxy pendant qu’il lance sa tentative d’attaque malveillante […] Une fois que l’attaque à trouvé l’identifiant du message, il peut modifier le contenu du message et l’envoyer aux serveurs de Facebook. Le contenu est altéré sans un message de type push vers le PC ou le terminal mobile de l’utilisateur« , explique ainsi de manière inquiétante, preuves à l’appui, Roman Zaikin, qui a ainsi démontré une des nombreuses finalités de ce POC via la mise en application d’un ransomware.

 

Pour l’heure, la vulnérabilité a été prise en charge très rapidement, selon CheckPoint, qui a travaillé main dans la main avec Facebook afin de colmater cette brèche dangereuse qui a été communiqué à l’équipe de sécurité du géant du Web plus tôt au cours de ce mois.

 

Facebook messenger_migration application messenger

Une vulnérabilité mise à jour et corrigée aussitôt et qui intervient très peu de temps après le déploiement, depuis quelques jours, à la manière de la migration « fortement » conseillée de Microsoft pour Windows 10, d’un message aux utilisateurs de Messenger sur Web ou mobile leur informant que les fonctionnalités sont pleinement actives sur l’application dédiée ; Une annonce qui manque un peu de charme et de douceur, indéniablement et qui ne date, surtout, pas d’hier puisque depuis 2014, Facebook redouble d’effort pour centraliser toutes ses fonctionnalités présentes et à venir sur une application mobile, permettant sans doute au passage d’éviter de gérer en doublon une version Web et mobile « officieuse ». Toutefois, si les intentions sont légitimes pour une entreprise ambitieuse telle que Facebook, reste un point non négligeable : l’internaute, sa principale source de revenus qui aurait aimé un message moins brut via une annonce plus officielle, en notant qu’une bonne partie des personnes adeptes du logiciel du géant du Web n’utilise, principalement, que la fonction de conversation instantanée… A suivre !

 

Source : Blog CheckPoint – Billet du 7 Juin 2016.