Le mois dernier, WhatsApp a corrigé une faille de sécurité dans ses applications de bureau qui aurait potentiellement permis aux pirates d'accéder aux fichiers locaux de votre ordinateur. Découverte par un chercheur en cybersécurité chez PerimeterX, la vulnérabilité affectait les clients Windows et Mac du service de messagerie lorsqu'ils étaient associés à un iPhone.
La faille a été trouvée dans la politique de sécurité du contenu de WhatsApp, une couche de sécurité supplémentaire que les entreprises utilisent souvent pour empêcher un certain ensemble d'attaques et qui a permis à des acteurs malveillants de manipuler des messages et des liens via une méthode appelée Cross-Site Scripting.
Lorsqu'un utilisateur tapait sur l'un de ces textes frelatés, il accordait sans le savoir à l'attaquant des autorisations pour lire les fichiers locaux de son ordinateur, ainsi que pour injecter des codes malveillants. Alors que la vulnérabilité nécessitait une interaction de l'utilisateur pour fonctionner, il était possible de l'exécuter à distance.
«Une vulnérabilité dans WhatsApp Desktop lorsqu'elle est associée à WhatsApp pour iPhone permet la création de scripts intersites et la lecture de fichiers locaux. Pour exploiter la vulnérabilité, la victime doit cliquer sur un aperçu du lien à partir d'un message texte spécialement conçu », a écrit la société mère Facebook dans un avis de sécurité.
Le bogue affecte les versions de WhatsApp Desktop antérieures à la v0.3.9309 et WhatsApp pour les versions iPhone antérieures à la 2.20.10. Il a été corrigé le 21 janvier 2020. Par conséquent, pour vous assurer que vous êtes en sécurité, allez-y et mettez à jour l'application WhatsApp sur votre ordinateur et votre iPhone.
«Les anciennes versions du framework Chromium de Google Chrome, telles qu'utilisées par les versions vulnérables de l'application de bureau WhatsApp, sont sensibles à ces injections de code, bien que les versions plus récentes de Google Chrome disposent de protections contre de telles modifications JavaScript. D'autres navigateurs tels que Safari sont encore largement ouverts à ces vulnérabilités », a expliqué Ido Safruti, fondateur et CTO de PerimeterX.
La vulnérabilité n'a pas d'impact sur Android car contrairement à iOS, il dispose de protections supplémentaires contre les bannières Javascript. «IOS a omis cette vérification, qui permettait aux bannières contenant du contenu malveillant de se charger sur les appareils iOS», a ajouté un porte-parole de PerimeterX.
Au cours de la dernière année, WhatsApp a eu du mal à éliminer les vulnérabilités de sécurité. En novembre, le géant de la messagerie appartenant à Facebook a corrigé une faille qui aurait pu permettre à des pirates de prendre le contrôle d'un téléphone avec juste un fichier MP4. Il y a quelques semaines, il a été constaté que ce même bogue compromettait également le téléphone et les données sensibles d'Amazon Jeff Bezos. Plus tard, le PDG de Telegram, dans un article de blog cinglant, a accusé WhatsApp de planter délibérément des portes dérobées pour les forces de l'ordre et de les masquer comme des bugs lorsqu'ils sont attrapés.