Facebook a révélé le 14 novembre que sa messagerie WhatsApp était victime d’une faille de sécurité. Exploitée, cette faille pourrait permettre d’espionner les smartphones sous Android ou iOS. Facebook se veut rassurant : rien ne prouve que la faille a été exploitée avant qu’elle ne soit comblée.

La faille a été comblée par Facebook

La brèche référencée sous l’intitulé CVE-2019-11931 dans le dictionnaire des vulnérabilités de sécurité est loin d’être anodine. Elle aurait pu permettre à des personnes malintentionnées d’exécuter à distance un code malveillant sur le périphérique. Le pirate avait juste besoin du numéro de téléphone de sa victime.

La faille se situait au niveau des vidéos .MP4. Le bug était dû à un dépassement de tampon, en détournant le programme un pirate pouvait introduire des instructions au sein de la vidéo envoyée. Les instructions offrent la possibilité à une personne d’installer un logiciel espion ou un malware sur le périphérique ciblé.

Difficile de savoir si cette faille a été repérée et exploitée avant que Facebook n’intervienne. Sollicité par The Hacker News, WhatsApp s’est montré rassurant sur les risques encourus par les utilisateurs : « Nous publions des rapports publics sur les problèmes potentiels que nous avons réglés, conformément aux pratiques exemplaires de l’industrie. Dans ce cas, il n’y a aucune raison de croire que les utilisateurs ont été touchés ».

Il est toutefois vivement conseillé de mettre à jour WhatsApp afin d’être certains que le patch comblant la faille a été appliqué.

Les versions de l’application touchées par la faille :

  • Android versions antérieures à 2.19.274
  • iOS versions antérieures à 2.19.100
  • Entreprise Client versions antérieures à 2.25.3
  • Windows Phone version 2.18.368 et antérieures
  • Business for Android versions antérieures à 2.19.104
  • Business for iOS versions antérieures à 2.19.100

Ce n’est pas la première fois que WhatsApp est vulnérable

Décidément WhatsApp accumule les déconvenues. Il y a deux mois un spécialiste en cybersécurité anonyme avait révélé qu’il était possible, au sein d’un GIF envoyé via la messagerie, d’implanter un logiciel capable de récupérer diverses données, dont les conversations WhatsApp. Cette faille concerne toutefois un nombre restreint d’appareils.

En mai la messagerie avait admis avoir été victime d’un piratage permettant d’espionner ses usagers. Le logiciel Pegasus développé par une entreprise israélienne spécialisée dans les cyber technologies, NSO Group, avait été pointée du doigt.

Au moins 1400 utilisateurs ont été affectés par Pegasus. Le 29 octobre WhatsApp avait décidé de porter plainte. Quelques jours après cette annonce une experte des réseaux sociaux, Jane Manchum Wong, avait annoncé que Facebook travaillait sur un chiffrement de bout en bout de Messenger. De quoi s’attendre, comme c’est le cas ici, à une grande réactivité de l’entreprise de Mark Zuckerberg en cas de vulnérabilité menaçant la vie privée des usagers de ses applications.