Des failles dans les applications de chat Signal, Facebook et Google permettent aux pirates d’espionner les utilisateurs
Des failles ont été repérées dans plusieurs applications mobiles de visioconférence, qui permettent aux pirates d’espionner les utilisateurs sans leurs autorisations avant que l’autre personne au bout du fil prenne les appels.
Une chercheuse en sécurité chez Google Project Zero, Natalie Silvanovich, a trouvé ces bugs de logique dans les applications de messagerie Signal, Google Duo, Facebook Messenger, JioChat et Mocha. Ces derniers ont maintenant tous été corrigés. Cependant, avant d’être corrigés, ils permettaient de forcer les appareils ciblés à transmettre de l’audio aux appareils des pirates sans devoir exécuter le code.
Silvanovich a déclaré : « J’ai étudié les machines d’état de signalisation de sept applications de visioconférence et j’ai trouvé cinq failles permettant à un appareil appelant de forcer un appareil appelé à transmettre des données audio et vidéo ». Silvanovich a donc révélé un bug que Signal a corrigé en Septembre 2019 qui aurait permis de connecter l’appel audio en envoyant le message de connexion des appareils de l’appelant à l’appelé au lieu du contraire, sans interaction de l’utilisateur.
La faille Google Duo, une condition de concurrence permettant aux appelés de dévoiler des paquets vidéo d’appels sans réponse à l’appelant, a été corrigé en Décembre 2020, alors que le bug Facebook Messenger permettait aux appels audio de se connecter avant l’appel réponse. Cette dernière a été traitée en Novembre 2020. Deux autres failles semblables ont été découvertes dans les messagers JioChat et Mocha en Juillet 2020 ; ces failles permettaient d’envoyer de l’audio JioChat (corrigé en Juillet 2020) et d’envoyer de l’audio et de la vidéo Mocha (corrigé en Aout 2020) après exploitation, sans autorisation de l’utilisateur. Silvanovich a aussi recherché des failles semblables dans d’autres applications de visioconférences comme Telegram et Viber, mais n’a pas croisé ce genre de problèmes.
Selon Silvanovich : "Il est également préoccupant de noter que je n'ai examiné aucune fonctionnalité d'appel de groupe de ces applications, et que toutes les vulnérabilités signalées ont été trouvées dans des appels peer-to-peer. C'est un domaine de travail futur qui pourrait révéler des problèmes supplémentaires."