C'est une nouvelle fois l'équipe d'Impreva qui a fait cette découverte. En novembre dernier elle avait pour rappel détecté une brèche dans Facebook qui pouvait dévoiler des informations personnelles.

La technique, proche de celle utilisée en novembre dernier, est détaillée ici. Pour mener une attaque, un pirate a besoin d'attirer sa cible sur un site spécialement conçu et de le faire cliquer n'importe où sur la page, pour lancer une vidéo par exemple.

Un nouvel onglet s'ouvre, laissant l'ancien où se déroule l'attaque en arrière-plan. Il était alors possible de « vérifier à distance si un utilisateur avait discuté avec une personne ou une entreprise en particulier ». Un prototype a été mis en ligne par ici.

Impreva a contacté Facebook en amont de sa publication. Une première mise à jour a été déployée pour atténuer le risque, mais l'équipe de chercheurs a réussi à contourner les protections. Le réseau social a alors « décidé de supprimer complètement tous les iframes de l'interface utilisateur de Messenger », rendant cette attaque impossible.