Deux chercheurs ont révélé qu’une faille sur les navigateurs Mozilla Firefox et Google Chrome permettait de divulguer des noms d’utilisateurs Facebook, mais aussi leurs photos de profils et leurs likes.

Dans un article publié vendredi 1er juin sur Arstechnica, les chercheurs Dario Weißer et Ruslan Habalov ont révélé que la faille en question était présente depuis plus d’un an sur Chrome et Firefox. Si les utilisateurs consultaient des sites web intégrant un algorithme précis, leurs noms, leurs photos de profil et leurs likes pouvaient tombés entre les mains des hackers à l’origine de l’attaque. Baptisée « mix-blend-mode », la vulnérabilité était issue d’une fonctionnalité introduite dans le code CSS en 2016. Avec celle-ci, les informations fuitaient dans un « iframe ». Dite attaque « par canal auxiliaire », cette dernière analyse les pixels Facebook et la reconnaissance optique de caractère, ce qui permet d’accéder aux noms, aux messages et autres contenus. De fait, des utilisateurs malveillants ont pu récolter des données privées sans que les personnes concernées n’en soient informées.

Selon les deux chercheurs, les navigateurs Edge et Explorer n’ont pas été impliqués puisqu’ils avaient implémenté un autre mode. Quant à Safari, Dario Weißer indique qu’il n’avait pas été menacé, mais qu’il ne savait pas pourquoi. Google Chrome a comblé la vulnérabilité à la fin de l’année écoulée et Firefox s’en est occupé il y a deux semaines (car il a été informé plus tard). Pour sa part, Facebook a indiqué qu’il ne pouvait pas corriger la vulnérabilité.

Néanmoins, Weißer explique : « Les CSS, HTML et JavaScript ont beaucoup de fonctionnalités différentes pour faire des choses graphiques […] Je ne serais pas surpris s’il y a des problèmes similaires, mais inconnus ». De fait, des fonctionnalités graphiques de ce même type pourraient permettre de reproduire de type de piratage à l’avenir.

Ruslan Habalov conclut en partageant l’idée de  Weißer : « Nous avons seulement démontré le potentiel d’attaque contre Facebook […] Cependant, à travers le Web, il y a des tonnes d’autres ressources sensibles qui pourraient être affectées par des attaques comme celle-ci d’une manière similaire ».