WhatsApp, un bug permettait d’installer un spyware

Les controverses autour du piratage de WhatsApp sont encore récentes et la plateforme populaire de messagerie est de nouveau en première page pour des raisons différentes.

WhatsApp a secrètement patché une nouvelle vulnérabilité critique dans l’application qui permettait aux pirates de compromettre à distance des appareils ciblés et de subtiliser les historiques de conversation et les fichiers stockés sur ces appareils.

La vulnérabilité (CVE-2019-11931) est un problème de débordement de tampon de la pile. Cette faille est liée à la méthode utilisée par les précédentes versions de WhatsApp pour analyser les métadonnées d’un fichier MP4. Cela permet d’effectuer des attaques de déni de service ou d’exécution de code arbitraire à distance.

Pour exploiter cette vulnérabilité à distance, il suffit d’avoir le numéro de téléphone des utilisateurs ciblés et de leur envoyer un fichier MP4 malveillant. Ce fichier peut être programmé pour installer une porte dérobée ou un spyware sur l’appareil compromis.

La vulnérabilité affecte les versions pour particuliers et professionnels sur toutes les plateformes majeures, y compris Android, iOS et Windows.

Selon un rapport publié par Facebook, compagnie mère de WhatsApp, la liste des versions de l’application qui sont affectées sont:

  • les versions sur Android antérieures à 2.19.274
  • les versions sur iOS antérieures à 2.19.100
  • les versions Enterprise Client antérieures à 2.25.3
  • les versions sur Windows Phone antérieures à et incluant 2.18.368
  • les versions Business for Android antérieures à 2.19.104
  • les versions Business for iOS antérieures à 2.19.100

La portée et l’impact de cette nouvelle vulnérabilité patchée est similaire à la vulnérabilité VoIP qui a été exploité par la compagnie israélienne NSO Group pour installer le spyware Pegasus sur près de 1400 smartphones Android et iOS dans le monde.

nso group

Un porte-parole de WhatsApp a confirmé que cette nouvelle faille n’a pas été exploité par des pirates pour le moment.

“WhatsApp travaille constamment à améliorer la sécurité de notre service. Nous faisons des rapports publics sur les problèmes que nous résolvons avec les meilleurs pratiques de l’industrie. Il n’y a aucune raison de penser que les utilisateurs ont été impacté.”

Cette vulnérabilité survient juste après que Facebook ait poursuivi NSO Group en justice pour avoir ciblé les utilisateurs de WhatsApp.

WhatsApp (ou WhatsApp Messenger) est une application mobile multiplateforme qui fournit un système de messagerie instantanée chiffrée de bout en bout aussi bien par Internet que par les réseaux mobiles.

WhatsApp a remporté un grand succès au tournant des années 2010. L’application, créée en 2009 par Jan Koum et Brian Acton, deux anciens de la société américaine Yahoo! avec pour objectif de remplacer le SMS, était utilisée quotidiennement par plus d’un milliard de personnes en 2017.

En février 2014, WhatsApp est acquis par Facebook pour un montant d’environ 19 milliards de dollars dont 15 milliards en actions Facebook, soit environ 350 millions de dollars par employé ou 40 dollars par utilisateur. Will Cathcart est son président.

L’application s’est trouvée à plusieurs reprises au centre de vives critiques portant sur sa sécurité informatique, notamment sur la confidentialité des informations personnelles qui y sont échangées ; elle a également servi de support à plusieurs campagnes de diffusion de fausses informations dans plusieurs régions du monde.

Selon une enquête IFOP de mars 2018, 52 % des Français utilisent WhatsApp pour communiquer en famille et la moitié d’entre eux estime que ce nouvel outil de communication a transformé les liens familiaux. Pour les membres d’une famille dispersée géographiquement, l’application semble être une opportunité

Comment se protéger face à cette faille de WhatsApp?

Il est recommandé aux utilisateurs de vérifier qu’ils utilisent la dernière version de l’application et de désactiver le téléchargement automatique des images et des fichiers audio et vidéo dans les paramètres de l’application.

Whatsapp et sa maison mère, Facebook, continuent de faire la une des journaux année après année, que ce soit pour des vulnérabilités, des abus des données personnelles ou la propagation de fausses informations.