Les aperçus de liens, point faible des messageries instantanées ? On est tenté de l’affirmer à la lumière d’une étude qu’ont menée deux développeurs.
Le tableau ci-dessous liste les services qu’ils ont testés.
Les expérimentations se sont limitées à la partie chat. Mais elles suffisent à faire ressortir un large panorama d’usages… et de risques.
Trois méthodes se dégagent pour générer les aperçus des liens :
Les deux premières solutions peuvent poser des problèmes de consommation de ressources. Avec, en l’occurrence, des applications qui téléchargent un contenu dans son intégralité pour en générer un aperçu. Reddit était dans ce cas ; Viber l’est encore.
Le même problème s’est présenté avec plusieurs applications qui génèrent les aperçus côté serveur. Notamment Instagram et Messenger. Un fichier de 2,6 Go a engendré un total de 24,7 Go de données émises, vers non pas un, mais plusieurs serveurs.
La « méthode serveur » pose un autre problème, du domaine de la privacy : que deviennent les données transmises ? Rares sont les fournisseurs qui communiquent des informations à ce sujet. Slack se distingue en annonçant une durée de conservation de 30 minutes environ. Pour les autres, on sait essentiellement le volume maximal de données que le serveur récupère :
Les chercheurs s’attardent sur le cas de LINE, qui utilise la « méthode serveur » alors même que sa messagerie est censée être chiffrée de bout en bout.
Ils déplorent aussi le fait que certains serveurs (Instagram et LinkedIn) aient exécuté le code JavaScript vers lequel pointait un lien de test. Au risque que ledit code soit malveillant.
Autre remarque, concernant cette fois les méthodes « expéditeur » et « destinataire » : pour générer l’aperçu d’un lien, l’application transmet au serveur qui héberge le contenu l’adresse IP de l’utilisateur. Ce qui peut trahir approximativement sa géolocalisation.
Illustration principale via visualhunt.com
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.