Facebook Messenger n'est pas une des applications de messagerie les plus sécurisées, et cela est révélé le plus clairement possible dans le clip vidéo ci-dessous où un chercheur en sécurité informatique nous montre comment les messages du chat de l'application peuvent être modifiés.
Utiliser une faille de sécurité existante dans le code Facebook Messenger, un pirate informatique pourrait modifier complètement les messages existants dans une conversation effectuée via la plateforme, et cela parce que Facebook ne se souciait pas beaucoup de sécuriser les conversations des utilisateurs.
En utilisant cette technique, les pirates pourraient envoyer des utilisateurs normaux vers des sites Web malveillants où ils pourraient être infectés par des logiciels malveillants, ou bien ils pourraient réaliser différents types d'attaques, le tout sans que l'utilisateur sache qu'il est victime d'une attaque dirigée via FaceBook Messenger.
La procédure de traitement du chat n'implique pas l'interception des transmissions de données effectuées via Facebook Messenger, mais uniquement en trouvant un identifiant de message pour un utilisateur et en manipulant les serveurs Facebook via lesquels les messages étaient envoyés entre utilisateurs.
À titre d’exemple d’attaque, le pirate informatique pourrait envoyer un message légitime à une victime potentielle. Une fois le message reçu, le pirate informatique peut alors modifier ce message pour inclure un lien ou un fichier malveillant. Les points d'infection peuvent être ajustés « de manière transparente », écrit-il, et le message supprimé à distance du compte Facebook pour brouiller les traces du pirate informatique.
De plus, les pirates pourraient supprimer les messages envoyés aux utilisateurs, de sorte que la source d'une infection par des logiciels malveillants ou des virus ne puisse pas être découverte, et que l'utilisateur ne soit pas protégé par Facebook pour les conversations qu'il avait à travers la plateforme de l'entreprise.
Même si la vulnérabilité était extrêmement dangereuse, Facebook a réussi à la fermer très peu de temps après qu'elle ait été annoncée par ceux qui l'ont découverte, de sorte que pour le moment les utilisateurs soient en sécurité et que les messages reçus ne puissent pas être modifiés par des pirates distants.
