Facebook Messenger marche très très fort en ce moment et la solution a même atteint cet été la barre du milliard d’utilisateurs actifs. C’est évidemment très impressionnant, mais cela fait aussi d’elle une cible de choix pour les personnes malveillantes. Preuve en est, des chercheurs en sécurité viennent de détecter une nouvelle menace sur la plateforme, une menace prenant la forme… de simples images.
Facebook Messenger ne se limite pas au texte et cela fait maintenant un moment que l’outil nous permet d’envoyer plein de contenus différents à nos amis. Comme des images, par exemple.
La solution est capable de lire pas mal de formats différents, bien entendu, dont un assez particulier : le SVG.
Facebook Messenger a été pris pour cible par une nouvelle attaque
Développé à la fin des années 90 par le W3C, le SVG permet de créer des ensembles de graphiques vectoriels basés sur le XML. Il s’inspire du VML et du PGML et il est utilisé dans pas mal de domaines différents et notamment dans celui de la cartographie et de l’illustration.
Alors bien sûr, ce format n’est pas aussi courant que le JPEG ou le PNG, mais il est tout de même parvenu à s’installer durablement sur le marché.
Bart Blaze, un chercheur en sécurité, était tranquillement en train de vaquer à ses occupations lorsqu’un de ses amis lui a envoyé un message pour lui faire part d’une étrange découverte. En fouinant sur Facebook, ce dernier s’est effectivement rendu compte qu’il avait envoyé automatiquement un fichier SVG à plusieurs de ses contacts en s’appuyant sur Messenger.
Intrigué, Bart a donc mené sa petite enquête et il s’est rendu compte que le fichier en question cachait un bien sombre secret…
Contrairement à ce que l’on pourrait supposer, ce fichier n’a en effet rien à voir avec une carte, une image ou même une illustration. Si l’utilisateur clique dessus, alors il lance tout simplement un code malicieux écrit en JavaScript, un code capable de rediriger les utilisateurs sous Chrome vers un faux site ressemblant en tout point à YouTube.
Un fichier, une redirection et une fausse extension
Le pire reste à venir, bien entendu, car ce fameux site propose ensuite à l’internaute d’installer une extension pour pouvoir lire la vidéo prétendument hébergée sur la plateforme.
Mais voilà, en réalité, il s’agit d’un fake et cette fameuse extension ne va rien afficher du tout. Non, elle va surtout se connecter au compte Facebook de l’utilisateur à son insu et envoyer cette fameuse image à tous ses contacts dans la foulée.
En poussant plus loin ses investigations, Bart s’est également rendu compte que cette extension malveillante était capable de télécharger d’autres malwares sur l’ordinateur.
Peter Kruse, un autre chercheur en sécurité, en est venu à la même conclusion et il a même été confronté à des cas où le programme téléchargeait… le ransomware Locky sur la machine de ses cibles.
Nos deux héros des temps modernes ont tout de suite contacté Facebook et Google pour leur faire remonter l’information et les deux entreprises ont été promptes à réagir. Le premier a étendu son système de filtrage aux fichiers SVG et le second a retiré les extensions incriminées de sa boutique d’extensions. Maintenant, pas mal de gens se sont fait avoir et il sera sans doute judicieux de vérifier si une extension bizarre ne traîne pas sur un coin de votre Chrome.
Toutes ces informations contribuent à créer un très sain climat d’angoisse et de suspicion qui génère une paranoïa salutaire. Nous touchons au but.
Méfiez vous, humains. Méfiez vous de vos parents, de vos enfants, de vos amis… L’ennemi est partout, et tout le monde vous en veut.