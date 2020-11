Un bug dans Messenger, l’application de messagerie populaire de Facebook, permettait aux pirates d’écouter ce qui se passait autour du smartphone en passant simplement un appel sur le téléphone de la victime, sans que la victime n’ait à répondre. Le bug, rapporté par Natalie Silvanovich du Project Zero de Google le 6 octobre dernier, a eu un impact sur le versions 284.0.0.16.119 et plus tôt que Messenger pour les appareils Android. Facebook a maintenant publié une mise à jour de sécurité qui a résolu le problème, qui ne devrait donc pas affecter les versions mises à jour de l’application.

La vulnérabilité permettait aux pirates d’appeler un contact et d’envoyer simultanément un message particulier à une victime qui devait être connectée à Messenger sur les smartphones et les PC, comme cela peut souvent arriver à la maison ou au travail. Grâce à ce message, un attaquant pourrait écouter l’audio enregistré à partir du téléphone de la victime avant même la réponse, c’est-à-dire alors que le téléphone sonnait encore. Cette écoute pouvait durer jusqu’à ce que le récepteur réponde ou que l’appel soit interrompu.

Selon Silvanovich, la faille résidait dans un protocole WebRTC qui permettait à l’attaquant d’envoyer un message spécial appelé SdpUpdate qui allait frapper le protocole de description de session (SDP) et a permis de connecter l’appel à l’appareil cible avant la réponse de la victime. Les appels via WebRTC ne transmettent généralement pas d’audio avant de répondre, mais grâce à l’utilisation de ce message, les pirates ont pu contourner cette protection, conduisant à une connexion immédiate de l’audio. Silvanovich a reçu un prix de 60 000 €, l’un des trois prix les plus élevés décernés par Facebook.