Une vidéo-leurre cache une faille XSS sur Facebook

Cloud

Un expert en sécurité IT a trouvé un nouveau type de faille « cross-site-scripting », qui est exploité pour délivrer une charge virale sophistiquée via le réseau social.

Risque de propagation rapide, utilisateur démuni

L’application peut poster le lien directement sur le mur de Facebook de l’utilisateur.

Ce qui le transforme en relais malveillant avec des invitations diffusées à ses amis, même à travers l’interface de messagerie instantanée.

Généralement, Facebook est confrontée à une infection XSS par page Web infectée qui s’affiche.

Dans ce cas, l’utilisateur est convié à télécharger un plug-in (un malware) pour consulter une vidéo, re-router vers un sondage ou pour diffuser d’autres leurres.

Mais les internautes allaient rarement jusqu’au bout de la démarche pour consulter la vidéo.

Cette fois-ci, l’attaque XSS est plus malicieuse.

Selon l’expert en sécurité IT, le code malveillant exploité dans le cas de Facebook serait similaire à celui identifié par Ashish Bhatia, un ingénieur chez Google (et baptisé « April Fools Prank »)

Il est conseillé aux membres de Facebook ayant cliqué sur le lien de ne pas ouvrir la vidéo intégrée.

En cas d’infection, il est recommandé de vérifier toutes les liens entre le bouton « J’aime » de Facebook et les pages des sites Web infectées et de changer de mot de passe pour l’accès à son compte de réseau social.

De son côté, Symantec assure que le bug découvert sur l’API mobile de Facebook permet à des applications malicieuses de diffuser automatiquement des spams à ses contacts sur son mur.

L’infection se propage rapidement, considérant que les liens transmis d’amis en amis sont sans dangers.

On a recensé plusieurs attaques similaires exploitant cette faille XSS, provoquée par des lacunes dans le filtrage JavaScript.

Selon Candid Wueest, expert en sécurité chez Symantec, il suffit qu’un membre de Facebook accède à un site avec du JavaScript infecté à partir d’un smartphone pour qu’il diffuse automatiquement du spam sur son « mur ».

« Il n’y as pas d’autres actions requises par l’utilisateur et cela n’implique pas d’autres leurres comme le clickjacking [on amène la victime à cliquer sur des liens dangereux sans qu’elle s’en aperçoive] », indique-t-il.

« Il suffit juste de visiter un site Web infecté pour déclencher l’attaque. »

Symantec fournit deux conseils : se déconnecter après chaque session Facebook et priviléger le recours à des extensions qui bloquent les scripts à partir des navigateurs afin d’empêcher ce type d’attaque.

Adaptation en français d’un article eWeek UK en date du 8 avril 2011 : XSS Exploit Hidden In Facebook Bully Video