Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : il y a encore du travail pour Facebook et Skype

Les inquiétantes révélations d’un spécialiste de la sécurité ont poussé l’Institut National de Recherche en Informatique et en Automatique (INRIA) à tirer la sonnette d’alarme, invitant les utilisateurs de Skype et les membres de Facebook à faire preuve de vigilance face à deux nouvelles failles logicielles.

C’est un analyste du cabinet CDW qui a découvert, le 30 septembre dernier, sur le réseau social de Mark Zuckerberg, un pot aux roses dont il a récemment fait mention sur son blog.

Indirecte mais potentiellement dévastatrice, la menace ne tient qu’à un clic de souris suivi d’une frappe au clavier. Elle repose sur une défaillance du module de contrôle des éventuelles pièces jointes attachées à des messages envoyés par un membre à ses amis.

Par défaut, pour d’évidentes raisons de sécurité, Facebook proscrit la transmission de fichiers exécutables. Or, leur filtrage, qui repose en tout et pour tout sur une variable dénommée filename, n’est pas tout à fait au point.

Le simple ajout d’une marque d’espacement à la fin de l’extension distinctive (.exe) suffit à induire la confusion et se jouer du processus de vérification pour diffuser spywares et autres virus libérés instantanément à l’ouverture de la pièce jointe.

Un désagrément similaire est survenu à la fin du mois d’août. Un cheval de Troie déguisé en image a déferlé sur le réseau pour toucher essentiellement les utilisateurs d’Internet Explorer.

L’émergence progressive de cet iceberg d’insécurité dont l’envergure reste un mystère a convaincu l’INRIA de rendre publiques des constats similaires établis à propos de Skype, l’application de voix sur IP.

Une faille sévirait dans les dernières versions du client de bureau et permettrait à des pirates de géolocaliser des utilisateurs du service grâce à leur seule adresse IP.

Il leur resterait à entrer en contact avec leurs victimes désignées pour accéder à leurs machines respectives, via une passerelle P2P.

Un simple appel refusé suffirait à établir la connexion, déclare Le Monde Informatique. La suite se passe de commentaires et met un peu plus de plomb dans l’aile de Microsoft, dont le rachat de Skype vient tout juste d’être validé.

Crédit photo : © xiaoliangge – Fotolia.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago