WhatsApp corrige une faille de sécurité, la mise à jour de l’application est conseillée

WhatsApp a déclaré avoir corrigé une vulnérabilité dans l’application qui permettait à des acteurs malveillants d’installer un spyware sur les téléphones affectés.

Sont concernées en l’occurrence les versions de WhatsApp sur Android antérieures à v2.19.134, sur iOS antérieures v2.19.51 et les versions WhatsApp Business pour Android antérieures à v2.19.44 et pour iOS antérieures à v2.19.51 ainsi que les versions pour Windows Phone antérieures à v2.18.348 et sur Tizen antérieures à v2.18.15.

Par mesure de sécurité évidente, WhatsApp recommande donc à tous ses utilisateurs d’effectuer la mise à jour de l’application, élaborée spécialement à cet effet, sur leurs différents appareils. Elle rappelle qu’il est toujours conseillé de faire les mises à jour régulièrement pour parer à ce genre de situation.

La vulnérabilité en question consistait en l’exploitation d’un bug dans l’outil d’appel vocal de l’application qui laissait l’appelant libre d’installer le logiciel sur l’appareil utilisé, peu importe que cet appel ait été décroché ou non.

Appelé Pegasus et conçu par la compagnie de cyber-sécurité israélienne NSO Group, ce logiciel est habituellement vendu sous licence exclusivement à des acteurs étatiques. Ils l’utilisent afin d’accéder à des fonctionnalités et informations sensibles du téléphone d’une personne faisant l’objet d’une enquête.

Dès la découverte du bug au début du mois de mai, WhatsApp a mis 10 jours à changer son infrastructure pour rendre les attaques inopérables. Un certain nombre de pirates a profité de cette fenêtre pour installer ce spyware mais il est impossible de savoir à quelle échelle. La compagnie a déclaré qu’un nombre relativement faible d’utilisateurs ont été ciblés par des attaques. L’attaque a par exemple été signalée sur le téléphone d’un avocat en procès contre la compagnie pour le compte de journalistes et dissidents de gouvernements.

WhatsApp a déclaré au Financial Times, qui a le premier dénoncé l’attaque, enquêter sur l’implication éventuelle de NSO à l’origine du logiciel. Sans la nommer, WhatsApp dénonce dans un communiqué les traces « d’une compagnie privée habituée à travailler avec des gouvernements pour prendre le contrôle des appareils. ». NSO a répondu en affirmant ne travailler en son nom que pour des autorités officielles.

L’inimitié originelle qui existe nécessairement entre ces deux types de compagnies, l’une reposant sur la confiance que ses utilisateurs lui accordent dans la gestion de leurs données, l’autre travaillant à les subtiliser, ne peut qu’aller en s’exacerbant suite à ce type d’incident.

WhatsApp , détenue par Facebook, est justement populaire auprès des utilisateurs soucieux de la confidentialité pour son système de chiffrage de bout en bout. Elle en a notifié le ministère de la justice américain et des associations de défense des Droits de l’Homme.

Recevez par email toute l’actualité du digital