Jusqu’à récemment, la version PC/Mac de WhatsApp présentait une importante faille de sécurité pouvant être exploitée facilement par les pirates pour accéder aux fichiers stockés sur l’ordinateur de l’utilisateur.
« Aucune application ne devrait permettre d’injecter du code malveillant à partir d’un simple message »
Cette importante faille de sécurité a permis à Gal Weizman, expert en cybersécurité pour le compte de la société PerimeterX, d’adresser, via l’application WhatsApp Desktop, des liens dont il modifiait l’affichage afin de ne pas éveiller les soupçons. Lorsque l’utilisateur visé cliquait sur l’un de ces liens, Weizman était alors en mesure, à l’aide d’un simple code JavaScript et de l’API JavaScript Fetch, d’accéder aux dossiers stockés sur sa machine. Rapidement mis au courant du problème, Facebook a depuis publié un correctif (à partir des versions 0.3.9309 du logiciel).
Si ce souci de sécurité ne semblait toucher que les utilisateurs ayant synchronisé WhatsApp Desktop avec la version iOS de l’application de messagerie instantanée, il a toutefois mis en lumière la vulnérabilité du code utilisé. Comme le précise Gal Weizman : « Nous sommes en 2020, aucune application ne devrait permettre d’injecter du code malveillant à partir d’un simple message, ou de consulter l’intégralité des fichiers stockés localement sur la machine de l’utilisateur. » Interrogé par Mashable, Facebook a refusé de donner une estimation du nombre d’utilisateurs ayant été exposés à ce problème.
Facebook met en cause les systèmes d’exploitation des smartphones
Ces derniers mois, le manque de fiabilité de l’application de messagerie instantanée a été régulièrement pointé du doigt. Il y a quelques semaines, c’est même Jeff Bezos qui en aurait fait les frais : une société de cybersécurité missionnée par le patron d’Amazon a en effet rapporté que l’iPhone X de ce dernier avait été visé par une tentative de piratage, reposant également sur l’envoi d’un message malveillant via WhatsApp. Si Bezos s’en sort bien, il reste évident que l’écrasante majorité des utilisateurs de l’application ne disposent pas de tels moyens pour protéger leurs données personnelles.
Suite à cette affaire retentissante, Facebook avait déclaré être conscient du problème et travailler à l’amélioration de la sécurité de WhatsApp, tout en précisant qu’une grande partie du problème venait en fait des systèmes d’exploitation des smartphones, iOS en tête. Nicola Mendelsohn, vice-présidente de Facebook pour l’Europe, le Moyen-Orient et l’Afrique, déclarant notamment que cette tentative de piratage avait mis en évidence « certaines failles potentielles » de ces systèmes.
Afin de minimiser les risques, il est bien évidemment recommandé de toujours télécharger les derniers correctifs et mises à jour proposés sur vos appareils. Pour obtenir la version patchée de WhatsApp, il vous suffit de vous rendre sur le site officiel de l’application.
