WhatsApp divulgue 6 failles de sécurité sur son site dédié

WhatsApp a patché six vulnérabilités précédemment non divulguées dans sa plate-forme de chat, révélant au passage un nouveau site de conseils dédiés à la sécurité qui vise à informer ses plus de 2 millions d’utilisateurs sur les bogues et à les tenir au courant de la sécurité des applications.

Le site fait partie d’un effort de WhatsApp pour être plus transparent sur les vulnérabilités de la plate-forme non seulement pour les utilisateurs, mais aussi pour la communauté de la sécurité, et ainsi corriger ces failles en temps opportun. Le temps de correction est quelque chose pour lequel l’entreprise a été critiquée dans le passé.

«Nous sommes très attachés à la transparence, et cette ressource est destinée à aider la communauté technologique au sens large à bénéficier des dernières avancées dans nos efforts de sécurité», a déclaré la société dans un article sur le nouveau site.

whatsapp

La page de conseil fournira une liste complète des mises à jour de sécurité WhatsApp et des vulnérabilités et expositions communes (CVE) associées, avec des descriptions destinées à aider les chercheurs à comprendre l’impact des bogues.

WhatsApp a déclaré qu’il suivrait «les meilleures pratiques de l’industrie» et ne divulguerait pas les problèmes de sécurité tant que les réclamations n’auraient pas été «pleinement étudiées», les «correctifs nécessaires» publiés et les mises à jour fournies via les magasins d’applications respectifs.

6 bugs de sécurité de WhatsApp

WhatsApp a pris une longueur d’avance sur son nouvel engagement en matière de transparence avec quelques divulgations, révélant six bogues que la société a récemment corrigés, avant toute preuve que ces failles aient été exploitées par des acteurs de la menace, a-t-il déclaré.

Certains bogues auraient pu être déclenchés à distance. L’un, CVE-2020-1890, était un problème de validation d’URL dans les versions Android de WhatsApp et WhatsApp Business qui aurait pu amener le destinataire d’un message autocollant contenant des données délibérément mal-formées à charger une image à partir d’une URL contrôlée par l’expéditeur sans interaction de l’utilisateur.

D’autres bogues nécessitaient une interaction de l’utilisateur, tels que CVE-2019-11928, un problème de validation d’entrée dans certaines versions de WhatsApp Desktop qui aurait pu permettre une attaque XSS si un utilisateur cliquait sur un lien à partir d’un message de localisation en direct spécialement conçu.

WhatsApp a déclaré qu’il continuerait de divulguer et de corriger les problèmes «aussi rapidement que possible», révélant que cinq des six bogues avaient été corrigés le jour même de leur découverte, selon un rapport publié. La dernière faille a pris un peu plus de temps à corriger, a déclaré la société.

whatsapp

Certains des bogues ont été découverts via le programme Facebook bug-bounty, qui couvre également les problèmes de WhatsApp, tandis que d’autres ont été trouvés lors de la révision du code, ou par le personnel de sécurité de l’entreprise et ses propres systèmes automatisés, selon le rapport.

Une plus grande transparence de WhatsApp sur les failles de la plate-forme est certainement la bienvenue, car l’année dernière, la société a révélé une vulnérabilité zero-day seulement après que les pirates l’utilisaient déjà pour installer des logiciels espions sur les smartphones des utilisateurs.

Facebook a ensuite poursuivi la société israélienne NSO Group qui est responsable de la création du logiciel espion Pegasus utilisé pour le piratage. Le logiciel espion utilisait du code de surveillance et des serveurs WhatsApp vulnérables pour envoyer des logiciels malveillants à environ 1400 appareils mobiles. NSO a nié toute responsabilité dans cette affaire.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x