Les données personnelles des utilisateurs de Facebook à nouveau mises à mal. La société de cybersécurité américaine Imperva a annoncé la semaine dernière qu’elle avait détecté un bug permettant à d’éventuels pirates de connaître les correspondants d’un utilisateur de Messenger.

Cette faille n’était active que sur la version Web de la messagerie de Facebook et non sur les versions mobiles fonctionnant sous Android et iOS, explique Le Figaro ce lundi.

Récupérer l’identité des interlocuteurs

La faille permettait une attaque de type Cross-Site Frame Leakage (CSFL) et les hackers pouvaient exploiter les éléments des iFrame (code utilisé pour intégrer des éléments sur des pages Web).

Les pirates envoyaient sur Messenger un lien vers un site malveillant. Lorsque les utilisateurs cliquaient sur un élément, ils pouvaient « récupérer certaines informations, notamment les contacts de la victime sur Messenger », indique Le Figaro. Toutefois, ils ne pouvaient pas récolter le contenu des conversions ou d’éventuels fichiers partagés entre utilisateurs. Facebook a depuis corrigé le bug.

La faute aux navigateurs Web

La société Imperva n’en est pas à sa première découverte. En novembre dernier, elle avait mis à jour une autre faille impactant Facebook. Des pirates pouvaient par exemple voir les pages « likées » par un utilisateur et ses amis.

Facebook a indiqué de son côté que la faille découverte par Imperva était imputable aux navigateurs Web. « La vulnérabilité détaillée dans ce rapport ne provient pas de Facebook, mais de la façon dont les navigateurs gèrent les contenus intégrés dans les pages Web. Nous avons fait des recommandations aux éditeurs de navigateurs et aux groupes de normalisation Web pour les inciter à prendre des mesures », a déclaré un porte-parole du réseau social.