Une faille a été détectée le 1er février dans un ActiveX utilisé par Facebook et Myspace pour télécharger des images. Il n'y a pour le moment aucun correctif de sécurité.


au sommaire


    Le code exploitant cette vulnérabilité a été publiée par Elazar Broad dans une liste de diffusiondiffusion, selon le principe « full disclosure ». Celui-ci consiste à rendre public le moyen d'exploiter des failles de sécurité pour forcer les éditeurs de logiciel à faire les mises à jour dans les plus brefs délais. Rappelons que selon la loi DADVSI cette pratique à risque ne serait pas autorisée en France. Dans la mesure où le code a été publié alors que la faille n'avait pas été signalée auparavant il s'agit de ce qu'on appelle dans le jargon informatique anglais un zero day exploit.

    L'ActiveXActiveX incriminé est Aurigma.ImageUploader.4.1, auquel correspond le fichier ImageUploader4.ocx. La faille résulte d'un débordement de mémoire tampon (buffer overflow) quand on envoie une chaîne de caractère excessivement longue. Il est alors possible de faire exécuter un code malveillant à l'ordinateur victime. Une seule version de cet ActiveX a été testée mais il est très vraisemblable que d'autres versions sont également vulnérables. Le site de sécurité SecuniaSecunia classe cette faille comme hautement critique.

    Dans la mesure où le code est disponible publiquement on peut craindre qu'il soit exploité pour de véritables attaques malveillantes dans un bref délai. De façon plus générale, ces sites de réseaux sociauxréseaux sociaux devenant de plus en plus populaires, on peut s'attendre à ce qu'ils deviennent une cible privilégiée d'attaques diverses d'autant qu'ils contiennent de nombreuses données personnelles sur les personnes qui s'y inscrivent.

    En décembre la société Sophos a testé les risques auxquels s'exposent les utilisateurs trop naïfs de ces outils en créant un profil fictif sur FacebookFacebook et en lançant 200 requêtes vers des « amis » choisis au hasard. 82 personnes ont répondu et dans ces réponses 72% ont donné leur adresse mail, 84% leur date de naissance, 87% des détails sur leurs études ou leur travail, 78% leur adresse ou leur lieu de résidence, 23% leur numéro de téléphone et 26% leur alias de messagerie instantanée. Beaucoup (chiffre non publié) ont envoyé leur photo, celle de leurs famille ou de leurs amis, voire le nom de leur conjoint, des détails sur leurs employeurs...

    On constate donc que la naïveté de nombreux utilisateurs met leur vie privée en danger. On peut facilement imaginer l'avantage que pourraient en tirer des pirates. Si en plus il est possible de piéger les utilisateurs grâce à l'exploitation de certaines failles il est temps de s'interroger sur l'utilisation et la sécurité de ces nouveaux outils dont l'intérêt est cependant incontestable.