Astuces de vie, conseils utiles, recommandations. Articles pour hommes et femmes. Nous écrivons sur la technologie et sur tout ce qui est intéressant.
Des ordinateursNouvelles

Quels messagers divulguent vos données, vident votre batterie et consomment du trafic Internet

3

Les aperçus de liens sont une fonctionnalité indéniablement pratique. Cependant, cela peut également compromettre la confidentialité et la sécurité.

L’aperçu du lien (ou aperçu) est une fonctionnalité que l’on trouve dans presque toutes les applications de messagerie modernes, et ce n’est pas seulement là. Il simplifie les conversations en ligne en affichant une brève description du site, une image miniature ou à la fois des images et du texte associés au fichier lié.

Malheureusement, ils peuvent également divulguer nos données sensibles, consommer Internet, vider les batteries des smartphones et même ouvrir des liens dans des chats cryptés de bout en bout. Selon une étude publiée lundi, les violations les plus graves ont été constatées dans les messageries Facebook (sans doute), Instagram, LinkedIn et Line.

Comment fonctionne l’aperçu ?

Lorsque l’expéditeur inclut un lien dans un message, l’application l’accompagne d’un titre, d’un court texte et d’une image. Cela ressemble généralement à ceci :

Pour que cela se produise, l’application elle-même, ou un serveur proxy qui lui est assigné, doit suivre le lien, y ouvrir le fichier ou le site Web et voir ce qu’il contient. Et c’est précisément ce qui rend les utilisateurs vulnérables aux attaques. Les applications les plus dangereuses sont celles qui vous permettent de télécharger des logiciels malveillants, tandis que d’autres peuvent être forcées de télécharger des fichiers si volumineux qu’ils provoquent le blocage de l’application, vident votre batterie ou consomment un trafic Internet limité.

Et si le lien mène à un contenu privé, tel qu’une déclaration de revenus publiée sur un compte OneDrive ou DropBox privé, le serveur d’application peut l’ afficher et le stocker indéfiniment.

Les chercheurs Talal Haj Bakri et Tommy Mysk, qui ont produit le rapport, ont découvert que Facebook Messenger et Instagram avaient le plus d’abus. Comme le montre la vidéo ci-dessous, les deux applications téléchargent et copient l’intégralité du fichier lié, même s’il est mesuré en gigaoctets. Et cela peut être un problème si les utilisateurs veulent garder le fichier qu’ils envoient privé.

Les serveurs Instagram téléchargeront tout lien envoyé dans des messages privés, même s’il s’agit de 2,6 Go.

En téléchargeant ces pièces jointes, les applications peuvent consommer une quantité considérable de trafic Internet et d’énergie de la batterie. Les deux applications exécutent également tout JavaScript contenu dans le lien. Le problème est que les utilisateurs n’ont pas la possibilité de vérifier la sécurité du code JavaScript sur le site et ne peuvent pas s’attendre à ce que les messageries instantanées aient la même protection contre les exploits à bord que les navigateurs modernes.

Les pirates peuvent exécuter n’importe quel code JavaScript sur les serveurs d’Instagram.

Haj Bakri et Mysk ont ​​rapporté leurs découvertes à Facebook lui-même, mais la société a déclaré que les deux applications fonctionnaient comme prévu. LinkedIn s’en sort un peu mieux. La seule différence était qu’au lieu de copier des fichiers de n’importe quelle taille, il ne copiait que les 50 premiers mégaoctets.

Pendant ce temps, lorsque l’ application Line ouvre le message crypté et trouve le lien, elle l’envoie au serveur de l’entreprise pour générer un aperçu.

"Nous pensons que cela va à l’encontre de l’objectif du chiffrement de bout en bout, car les serveurs LINE savent tout sur les liens qui sont envoyés via l’application et qui transmet quels liens à qui", ont écrit les chercheurs.

Discord, Google Hangouts, Slack, Twitter et Zoom copient également des fichiers, mais ils limitent la quantité de données entre 15 Mo et 50 Mo. Le tableau ci-dessous fournit une comparaison de chaque application incluse dans l’étude.

Quels messagers divulguent vos données, vident votre batterie et consomment du trafic Internet

Dans l’ensemble, l’étude est une bonne nouvelle, car elle montre que la plupart des applications de messagerie fonctionnent correctement. Par exemple, Signal, Threema, TikTok et WeChat offrent aux utilisateurs la possibilité de ne pas obtenir d’aperçu des liens. Pour les messages vraiment sensibles et les utilisateurs qui souhaitent un maximum de confidentialité, ce sont les meilleures options. Après tout, même s’il y a un aperçu, ces applications utilisent des moyens relativement sûrs pour les rendre. Malheureusement, Tommy et Hajj n’ont pas inclus Telegram dans leur étude.

You might also like More from author

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More