Les inquiétantes révélations d’un spécialiste de la sécurité ont poussé l’Institut National de Recherche en Informatique et en Automatique (INRIA) à tirer la sonnette d’alarme, invitant les utilisateurs de Skype et les membres de Facebook à faire preuve de vigilance face à deux nouvelles failles logicielles.
C’est un analyste du cabinet CDW qui a découvert, le 30 septembre dernier, sur le réseau social de Mark Zuckerberg, un pot aux roses dont il a récemment fait mention sur son blog.
Indirecte mais potentiellement dévastatrice, la menace ne tient qu’à un clic de souris suivi d’une frappe au clavier. Elle repose sur une défaillance du module de contrôle des éventuelles pièces jointes attachées à des messages envoyés par un membre à ses amis.
Par défaut, pour d’évidentes raisons de sécurité, Facebook proscrit la transmission de fichiers exécutables. Or, leur filtrage, qui repose en tout et pour tout sur une variable dénommée filename, n’est pas tout à fait au point.
Le simple ajout d’une marque d’espacement à la fin de l’extension distinctive (.exe) suffit à induire la confusion et se jouer du processus de vérification pour diffuser spywares et autres virus libérés instantanément à l’ouverture de la pièce jointe.
Un désagrément similaire est survenu à la fin du mois d’août. Un cheval de Troie déguisé en image a déferlé sur le réseau pour toucher essentiellement les utilisateurs d’Internet Explorer.
L’émergence progressive de cet iceberg d’insécurité dont l’envergure reste un mystère a convaincu l’INRIA de rendre publiques des constats similaires établis à propos de Skype, l’application de voix sur IP.
Une faille sévirait dans les dernières versions du client de bureau et permettrait à des pirates de géolocaliser des utilisateurs du service grâce à leur seule adresse IP.
Il leur resterait à entrer en contact avec leurs victimes désignées pour accéder à leurs machines respectives, via une passerelle P2P.
Un simple appel refusé suffirait à établir la connexion, déclare Le Monde Informatique. La suite se passe de commentaires et met un peu plus de plomb dans l’aile de Microsoft, dont le rachat de Skype vient tout juste d’être validé.
Crédit photo : © xiaoliangge – Fotolia.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…