Des chercheurs en sécurité ont étudié la fonctionnalité intégrée aux applications populaires de messagerie sur iOS et Android. L’aperçu du lien d’un message que vous recevez présente des risques pour la confidentialité et la sécurité de vos données.
La grande majorité des applications de messagerie instantanée disponibles sur iOS et Android vous proposent d’apercevoir le contenu d’un lien que vous recevez avant même de cliquer dessus. Cet aperçu affiche généralement le titre de la page web, une image ainsi qu’une courte description. Une telle fonctionnalité vous permet de gagner du temps car vous n’avez pas à ouvrir vous-même le lien si le titre ne vous intéresse pas par exemple. Néanmoins, elle ne serait pas sans danger. Deux chercheurs en sécurité, Talal Haj Bakry et Tommy Mysk ont partagé sur leur blog que « les bugs que nous avons trouvés en examinant comment cette fonctionnalité est mise en œuvre dans les applications de messagerie les plus populaires sur iOS et Android ».
L’aperçu d’un lien peut être créé sur l’appareil de l’expéditeur ou sur celui du destinataire
Les chercheurs ont testé la fonctionnalité d’aperçu de lien sur de nombreuses applications comme Discord, Facebook Messenger, Google Hangouts, Instagram, iMessage, LINE, LinkedIn, Signal, Twitter, Viber, WhatsApp et Zoom. En fait, elles ne fonctionnent pas systématiquement de la même manière pour générer l’aperçu d’un lien. Les plus sécurisées d’entre elles comme iMessage et WhatsApp récupèrent le contenu du lien au moment où vous l’envoyez par message, et non à la réception. Étant donné que vous connaissez déjà le contenu que vous souhaitez partager, cette méthode ne présente pas de risque particulier.
Cependant, certaines applications, dont Reddit, génèrent l’aperçu du lien sur l’appareil du destinataire, peu importe s’il tourne sous iOS ou Android. Le problème de cette méthode est que vous pourriez recevoir un lien avec du contenu malveillant. Il pourrait par exemple récupérer l’adresse IP de votre smartphone sans que vous vous en rendiez compte. Il se pourrait aussi que la page web contiennent un code JavaScript malicieux comme les chercheurs l’ont illustré dans leur vidéo de démonstration.
Messenger, Instagram et Twitter génèrent l’aperçu du lien sur un serveur à distance
L’une des méthodes les plus dangereuses identifiées par les chercheurs est notamment utilisée par Discord, Messenger, Instagram et Twitter. Ces applications génèrent l’aperçu du lien sur un serveur à distance. Ainsi, les messages contenant une URL qui sont partagés entre deux personnes ne sont plus chiffrés de bout en bout et n’importe qui ayant accès à ce serveur peut lire le message. D’ailleurs, la plateforme de visioconférence Zoom vient d’implémenter le chiffrement de bout en bout la semaine dernière.
Enfin, outre la sécurité de cette fonctionnalité sur les applications de messagerie, Talal Haj Bakry et Tommy Mysk ont aussi découvert un autre bug. Par exemple, Facebook Messenger peut télécharger un fichier allant jusqu’à 20 Mo sans demander la permission de l’utilisateur uniquement dans le but d’afficher l’aperçu d’un lien. Les chercheurs ont contacté les entreprises dont la fonctionnalité de leur application pouvait représenter une menace pour les utilisateurs. Selon eux, Facebook « nous ont dit qu’ils considéraient que cela fonctionnait comme prévu ».
Source : 9to5Mac