Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !
Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !
La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.
La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.
La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.
Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.
Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.
Pour ceux qui veulent creuser le fonctionnement des programmes de bug bounty , c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.
Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !
ConnexionIls ont été choisis sur des critères bien précis : leurs compétences en matière de crimes de guerre, d’extradition, ou encore leur proximité avec le pouvoir. Depuis 2014, au moins cinq cabinets d’avocat·es ont été embauchés par le gouvernement israélien en France, pays considéré comme un des principaux fronts de la guerre juridique dans laquelle Israël a dépensé des dizaines de millions d’euros à travers le monde.
D’après les calculs de Mediapart, basés sur la publication de 2 millions de mails du gouvernement d’Israël par le site à but non lucratif Distributed Denial of Secrets (DDoS), le ministère israélien de la justice a provisionné entre 274 000 et 424 000 euros pour passer des contrats avec des cabinets français entre 2014 et 2019. Leur rôle : conseiller et assister Israël et ses ressortissant·es en cas de procès devant les tribunaux en France.
En 2017, le ministère israélien de la justice passe un appel d’offres, dont Mediapart a pu consulter le compte rendu. Israël y exprime son inquiétude : depuis deux décennies, plusieurs tentatives de poursuites judiciaires ont eu lieu à l’étranger contre l’État israélien et ses responsables. La France est alors jugée comme un terrain judiciaire à surveiller de très près car, au mois de janvier, l’ancien premier ministre du Kosovo, Ramush Haradinaj, y a été arrêté, après des accusations de crimes de guerre et de crimes contre l’humanité. vid{264b93c4a3a4d80dafcc27fd6e4ad7f6302c34d253cd12a3fd161a5e78c50555}
— Permalink
vid{264b93c4a3a4d80dafcc27fd6e4ad7f6302c34d253cd12a3fd161a5e78c50555}
— Permalink
«Dans la soirée du 6 août, Bouygues Telecom a révélé avoir été victime d’une cyberattaque d’ampleur exceptionnelle : les données personnelles de 6,4 millions de clients ont été dérobées. Des coordonnées, indications contractuelles, informations bancaires (IBAN) et données personnelles sont affectées.»
— Permalink
