Chrome et Firefox divulguent des données Facebook depuis 2016
Depuis que la nouvelle de la collecte de données d'utilisateurs via Facebook par la société d'analyse de données politiques Cambridge Analytica a éclaté, Facebook a fait l'objet d'un examen minutieux de la part de plusieurs gouvernements et régulateurs. Il a également acquis la réputation d’être ignorant du droit des utilisateurs à la vie privée.
Mais il s'avère que deux des navigateurs Web les plus populaires – Google Chrome et Mozilla Firefox – ont été répandre des photos de profil et les noms d'utilisateur des utilisateurs de Facebook depuis plus d'un an maintenant. Ceci a été accompli par exploiter les nouveaux standards pour CSS (feuilles de style en cascade) qui ont été implémentées en 2016.
Les utilisateurs victimes de cet exploit étaient ceux qui ont visité des pages malveillantes (accidentellement ou par erreur) qui a hébergé le contenu de Facebook à l'aide d'iFrames. Ces sites imitent l'interface de Facebook afin que les utilisateurs inattentifs puissent être facilement trompés.
Les pirates ont abusé d'une fonctionnalité CSS appelée « mix-blend-mode » pour divulguer le contenu graphique et les informations techniques qui y sont associées. Ils a également utilisé des décodeurs de caractères optiques pour récupérer les noms des utilisateurs et parfois même les statuts postés par eux.
Après avoir été identifiée par deux équipes de recherche indépendantes, la vulnérabilité a été corrigée pour Chrome avec la mise à jour vers la version 63, sortie fin 2017, et avec Firefox 60, mis à jour il y a deux semaines. La vulnérabilité n'affecte plus les navigateurs mais Dario Weißer, l'un des chercheurs, a averti que des piratages similaires sont possibles à l'avenir avec la montée en puissance du contenu graphique et des normes comme HTML5 qui le prennent en charge.
Entre-temps, Internet Explorer et Microsoft Edge ont été épargnés de l'attaque parce que la société n'a pas implémenté le mode mix-blend. Dans le même temps, Safari était également protégé contre de telles attaques, mais les chercheurs n’en connaissaient pas la raison exacte.
Weißer affirme également que même si les équipes ont révélé des failles dans Facebook, il pourrait y avoir beaucoup plus de sites Web malveillants utilisant cette technologie pour tromper les utilisateurs et «des tonnes d’autres ressources sensibles qui pourraient être affectées» par des attaques similaires.