Categories: LogicielsSécurité

Messagerie instantanée : l’aperçu des liens, fonctionnalité à risques ?

Les aperçus de liens, point faible des messageries instantanées ? On est tenté de l’affirmer à la lumière d’une étude qu’ont menée deux développeurs.

Le tableau ci-dessous liste les services qu’ils ont testés.

Les expérimentations se sont limitées à la partie chat. Mais elles suffisent à faire ressortir un large panorama d’usages… et de risques.

Trois méthodes se dégagent pour générer les aperçus des liens :

  • Le faire côté expéditeur
    C’est ce qui se passe sur iMessage, Viber et WhatsApp. Ainsi que sur Signal, si l’option de prévisualisation des liens est activée.
  • Le faire côté destinataire
    Deux applications étaient dans ce cas au moment des tests. D’une part, Reddit. De l’autre, l’app « mystère », masquée dans le tableau ci-dessus, officiellement le temps de corriger les problèmes que lui ont signalés les chercheurs.
  • Le faire sur un serveur tiers
    Discord, Hangouts, Instagram, LINE, LinkedIn, Messenger, Slack, Twitter et Zoom emploient cette méthode.

Méthode « serveur » : que deviennent les données ?

Les deux premières solutions peuvent poser des problèmes de consommation de ressources. Avec, en l’occurrence, des applications qui téléchargent un contenu dans son intégralité pour en générer un aperçu. Reddit était dans ce cas ; Viber l’est encore.

Le même problème s’est présenté avec plusieurs applications qui génèrent les aperçus côté serveur. Notamment Instagram et Messenger. Un fichier de 2,6 Go a engendré un total de 24,7 Go de données émises, vers non pas un, mais plusieurs serveurs.


La « méthode serveur » pose un autre problème, du domaine de la privacy : que deviennent les données transmises ? Rares sont les fournisseurs qui communiquent des informations à ce sujet. Slack se distingue en annonçant une durée de conservation de 30 minutes environ. Pour les autres, on sait essentiellement le volume maximal de données que le serveur récupère :

  • 15 Mo pour Discord
  • 20 Mo pour Hangouts et LINE
  • 25 Mo pour Twitter
  • 30 Mo pour Zoom
  • 50 Mo pour LinkedIn et Slack
  • Sur Instagram et Messenger, tout le fichier s’il s’agit d’une image ou d’une vidéo

Adresses IP et JavaScript

Les chercheurs s’attardent sur le cas de LINE, qui utilise la « méthode serveur » alors même que sa messagerie est censée être chiffrée de bout en bout.

Ils déplorent aussi le fait que certains serveurs (Instagram et LinkedIn) aient exécuté le code JavaScript vers lequel pointait un lien de test. Au risque que ledit code soit malveillant.

Autre remarque, concernant cette fois les méthodes « expéditeur » et « destinataire » : pour générer l’aperçu d’un lien, l’application transmet au serveur qui héberge le contenu l’adresse IP de l’utilisateur. Ce qui peut trahir approximativement sa géolocalisation.

Illustration principale via visualhunt.com

Recent Posts

Microsoft révise ses programmes de licence à l’aune du cloud

Microsoft permet désormais la vente de licences perpétuelles dans le cadre du programme Cloud Solution…

2 jours ago

Open hardware : Android porté sur RISC-V

Alibaba est parvenu à porter Android sur un processeur RISC-V maison, avec interface graphique et…

2 jours ago

Firefox sur Apple Silicon : dans les coulisses du portage

De Rust aux DRM, Mozilla revient sur quelques-uns des défis qu'a impliqués le portage de…

2 jours ago

DBaaS : Couchbase Cloud sur Azure, après AWS

Après Amazon Web Services, Azure. La base de données en tant que service de Couchbase…

2 jours ago

Zerologon : Microsoft prépare la phase deux de son plan correctif

Microsoft se prépare à ajuster le correctif qu'il diffuse depuis août dernier contre la faille…

3 jours ago

DSI : un fonctionnement en silos qui coûte cher

9 DSI sur 10 considèrent que la contribution des équipes IT à la création de…

3 jours ago