Selon le Financial Times, les exploits ont fonctionné en appelant un appareil iPhone ou Android vulnérable à l'aide de la fonction d'appel WhatsApp. Les cibles n'ont pas besoin de répondre à un appel, et les appels ont souvent disparu des journaux, a indiqué la publication. Le représentant de WhatsApp a déclaré que la vulnérabilité avait été corrigée dans les mises à jour publiées vendredi.
Une fois installé, le logiciel espion peut activer la caméra et le micro d’un téléphone, analyser les e-mails et les messages et collecter les données de localisation de l’utilisateur. WhatsApp exhorte ses 1,5 milliard d'utilisateurs mondiaux à mettre immédiatement à jour l'application pour fermer le trou de la sécurité.
« WhatsApp encourage les utilisateurs à mettre à niveau leur dernière version de notre application et à maintenir leur système d'exploitation mobile à jour afin de se protéger contre les éventuels exploits ciblés visant à compromettre les informations stockées sur les appareils mobiles », a déclaré WhatsApp dans un communiqué.
La vulnérabilité existe dans les versions suivantes de WhatsApp:
- WhatsApp pour Android avant la v2.19.134
- WhatsApp Business pour Android avant la v2.19.44
- WhatsApp pour iOS avant la v2.19.51
- WhatsApp Business pour iOS avant la v2.19.51
- WhatsApp pour Windows Phone avant la v2.18.348
- WhatsApp pour Tizen avant la v2.18.15
La vulnérabilité découverte début mai a été prise pour cible dimanche dernier quand un avocat britannique spécialiste des droits de l’homme a été attaqué par le programme phare de NSO, le programme Pegasus, selon des chercheurs de Citizens Lab. L'attaque a été bloquée par WhatsApp. WhatsApp étudie la situation mais est jusqu'à présent incapable d'estimer le nombre de téléphones ciblés avec succès par l'exploit, a déclaré une source au Tal.
« Cette attaque a toutes les caractéristiques d'une entreprise privée connue pour travailler avec les gouvernements afin de fournir des logiciels espions qui auraient repris les fonctions des systèmes d'exploitation pour téléphones mobiles », a déclaré WhatsApp dans un communiqué transmis au Financial Times. « Nous en avons informé plusieurs organisations de défense des droits de l'homme, partagé les informations possibles et travaillé avec elles afin de tenir la société civile au courant ».
NSO affirme vendre Pegasus aux gouvernements et aux organismes chargés de l'application de la loi pour lutter contre le terrorisme et la criminalité. Cela n’empêche toutefois pas les pays, les organisations et les individus d’utiliser les logiciels espions de la société sans se laisser décourager par les préoccupations relatives aux droits de l’homme. En 2016, les logiciels espions de la NSO ont été impliqués dans l'attaque du militant des droits de l'homme émirati, Ahmed Mansoor. En 2018, les logiciels espions de la NSO étaient destinés à Carmen Aristegui, journaliste de télévision renommée, et à 11 autres personnes, alors qu’ils enquêtaient sur un scandale impliquant le président mexicain.
Les chercheurs affirment que les puissants logiciels espions de la NSO ont été utilisés par 45 pays au maximum dans la persécution des dissidents, des journalistes et d’autres civils innocents.
WhatsApp a déclaré que le correctif de vendredi avait été apporté aux serveurs de la société et visait à empêcher les attaques de fonctionner. La société a publié un correctif pour les utilisateurs finaux lundi. WhatsApp a déclaré avoir également révélé l'incident aux organismes américains chargés de l'application de la loi, afin de les aider à mener une enquête. Mardi, le groupe NSO a été confronté à une plainte devant un tribunal israélien concernant sa capacité à exporter ses logiciels. La plainte vient d'Amnesty International et d'autres groupes de défense des droits de l’homme.
WhatsApp en a informé la Commission irlandaise sur la protection des données
WhatsApp a informé son principal organisme de contrôle au sein de l’Union européenne, la Commission irlandaise de protection des données (DPC), d’une « grave vulnérabilité en matière de sécurité » sur sa plateforme.
« La DPC comprend que cette vulnérabilité a peut-être permis à un acteur malveillant d'installer un logiciel non autorisé et d'accéder aux données personnelles sur les appareils sur lesquels WhatsApp est installé », a déclaré le responsable de la réglementation dans un communiqué.
« WhatsApp enquête toujours sur le fait de savoir si des données d'utilisateur de WhatsApp UE ont été affectées à la suite de cet incident », a déclaré la DPC, ajoutant que WhatsApp l'avait informée de l'incident lundi soir.
Les experts en cybersécurité ont déclaré que la grande majorité des utilisateurs n'auraient probablement pas été affectés.
Scott Storey, maître de conférences en cybersécurité à l'Université Sheffield Hallam, estime que la plupart des utilisateurs de WhatsApp n'ont pas été affectés, car il semble s'agir de gouvernements ciblant des personnes spécifiques, principalement des défenseurs des droits de l'homme. « Pour l’utilisateur final moyen, il n’y a pas de quoi s’inquiéter », a-t-il déclaré, ajoutant que WhatsApp avait découvert la vulnérabilité et l’a rapidement corrigée. « Ce n'est pas quelqu'un qui essaie de voler des messages privés ou des détails personnels ».
Storey a déclaré que la divulgation des vulnérabilités est une bonne chose et qu'elle conduirait probablement à ce que d'autres services examinent leur sécurité.
Sources : Facebook, Financial Times, Reuters (1, 2)
Et vous ?
Êtes-vous un utilisateur de WhatsApp ? Allez-vous effectuer la mise à jour ?