Si vous utilisez WhatsApp sur votre ordinateur, nous vous conseillons vivement de mettre l’application à jour. En effet, une faille dans la version desktop de WhatsApp a récemment été découverte par Gal Weizman, chercheur à PerimeterX. Cette dernière permettait à des hackers d’insérer du JavaScript dans les messages et d’accéder à vos fichiers à distance.

Une faille sur la version desktop de WhatsApp

Si Facebook a bel et bien corrigé cette faille, il semblerait qu’elle ait existé pendant plusieurs années. En effet, WhatsApp pour ordinateur utilisait une ancienne version de Chromium qui laissait la possibilité à un pirate informatique d’insérer du code malveillant relativement facilement.

En somme, n’importe qui avec de telles compétences pouvait modifier vos messages, rechercher des documents sensibles ou même installer des logiciels malveillants. L’application est construite sur un framework Electron qui facilite la diffusion d’applications multi-plateformes, mais ce framework ne peut pas être sécurisé si l’application est basée sur un moteur web obsolète.

Les versions 0.3.9309 et toutes celles d’avant sont concernées par cette faille de sécurité. Il est très important de mettre à jour régulièrement vos applications pour éviter ce genre de problème. Le chercheur en sécurité informatique a consacré beaucoup de temps à l’identification de cette faille, mais affirme être heureux que tout cela ait été utile. Il précise que :

“Je pense que mes recherches montrent des idées très intéressantes qui devraient vous inspirer à explorer de nouveaux types de failles de sécurité qui existent probablement. Je vous encourage à le faire de manière responsable. Et si vous êtes éditeur d’une plateforme, veuillez utiliser cet article pour durcir votre application. Nous sommes en 2020, aucun produit ne devrait permettre une lecture complète du système de fichiers à partir d’un seul message”.

L’application WhatsApp est une habituée des failles de sécurité

En novembre 2019, WhatsApp était déjà victime d’une faille de sécurité. La brèche référencée sous l’intitulé CVE-2019-11931 dans le dictionnaire des vulnérabilités de sécurité est loin d’être anodine. Elle aurait pu permettre à des personnes malintentionnées d’exécuter à distance un code malveillant sur le périphérique d’un utilisateur. Le pirate avait juste besoin du numéro de téléphone de sa victime.

La faille se situait au niveau des fichiers .MP4. Le bug était dû à un dépassement de tampon, en détournant le programme un pirate pouvait introduire des instructions au sein de la vidéo envoyée. Les instructions offrent la possibilité à une personne d’installer un logiciel espion ou un malware sur le périphérique ciblé. Nous ne savons toujours pas si la faille avait été repérée et exploitée avant que Facebook n’intervienne.