Vulnérabilité découverte dans Whatsapp: qui, quoi, comment?
L'application Whatsapp a été touchée par une cyberattaque exploitant une faille permettant d’injecter un logiciel espion dans l'appareil des utilisateurs ciblés. Voici ce que l’on sait.
La nouvelle d’une faille découverte dans Whatsapp fait l’effet d’une bombe auprès de ses 1,5 milliard d'utilisateurs. Révélée par le Financial Times, la vulnérabilité a été confirmée par Facebook (propriétaire de la populaire app de messagerie), qui a déjà publié les correctifs. La faille a touché les versions standards et Business de Whatsapp, sur iOS, Android, Windows Phone et l’OS open source Tizen.
Qui a découvert la faille?
Selon le Financial Times, la vulnérabilité aurait été découverte par le NSO Group, une société israélienne qui édite le spyware Pegasus. Ce spécialiste des logiciels espions vend ses solutions aux gouvernements et aux organismes de défense dans le monde entier. Le NSO Group a officiellement nié toute implication.
Comment la faille a pu être exploitée?
Facebook explique qu’une vulnérabilité dans la pile VOIP de WhatsApp permettait l'exécution de code à distance via des paquets SRTCP (Secure Real Time Control Protocol) envoyés à un numéro de téléphone cible. En clair, cela signifie que le ou les attaquants ont pu injecter un spyware (probablement Pegasus) dans un smartphone simplement en utilisant la fonction d’appel audio de l’app. Les cibles ont ainsi pu être infectées sans aucune action de leur part. De plus, une fois le spyware installé, les attaquants avaient la possibilité d’effacer la notification d’appel manqué. Le logiciel espion utilisé permettrait d’extraire toutes les données stockées sur un appareil et d'activer à distance le microphone et la caméra du téléphone.
Y a-t-il des victimes et qui est concerné?
Peu d'utilisateurs seraient concernés par cette cyberattaque. Selon le Financial Times, elle aurait entre autres ciblé un avocat impliqué dans un procès contre NSO, procédure intentée par un groupe de journalistes mexicains et un dissident saoudien. Selon le Citizen Lab, un institut de recherche sur la cybersurveillance basé à l'Université de Toronto, la vulnérabilité aurait été utilisée ce dimanche pour attaquer un avocat engagé pour la défense des droits de l’homme basé au Royaume-Uni.
Que faire pour se protéger?
Les utilisateurs qui ont activé les mises à jour automatiques n’ont normalement rien à faire, l’update avec le correctif nécessaire ayant dû s’installer. Pour les autres voici comment procéder sur Android: aller sur la Play Store, recherché Whatsapp, cliquer sur le bouton de mise à jour. Si un bouton «ouvrir» s’affiche, cela signifie que l’app a été mise à jour automatiquement. Sur iOS: aller dans l’App Store, sélectionner les mises à jour et mettre à jour Whatsapp (comme sur Android, si le bouton affiche Ouvrir, l'update avec le correctif a déjà été installé).
Ce hack montre que la plus populaire des apps de messagerie peut avoir des failles. De quoi inciter de nombreuses personnes, notamment sur les réseaux sociaux, à promouvoir des alternatives censées être plus sûres telles que Signal ou l’app suisse Threema, au profit de laquelle la Confédération a condamné Whatsapp.
