Les appels vocaux WhatsApp ont été utilisés pour injecter des logiciels espions sur les téléphones
Une mise à jour corrective est disponible

26PARTAGES

15  0 
Une vulnérabilité découverte dans l’application de messagerie WhatsApp de Facebook a été exploitée pour injecter des spyware sur les téléphones tournant sur Android et iOS. Un représentant de WhatsApp, utilisé par 1,5 milliard de personnes, a déclaré que les chercheurs de la société avaient découvert la vulnérabilité plus tôt ce mois-ci alors qu'ils apportaient des améliorations en matière de sécurité. La vulnérabilité, qui a été répertoriée comme étant CVE-2019-3568, est une vulnérabilité de dépassement de mémoire tampon dans la pile VOIP WhatsApp qui permet l'exécution de code à distance lorsque des séries de paquets SRTCP spécialement conçues sont envoyées à un numéro de téléphone cible, selon cet avis.

Selon le Financial Times, les exploits ont fonctionné en appelant un appareil iPhone ou Android vulnérable à l'aide de la fonction d'appel WhatsApp. Les cibles n'ont pas besoin de répondre à un appel, et les appels ont souvent disparu des journaux, a indiqué la publication. Le représentant de WhatsApp a déclaré que la vulnérabilité avait été corrigée dans les mises à jour publiées vendredi.

Une fois installé, le logiciel espion peut activer la caméra et le micro d’un téléphone, analyser les e-mails et les messages et collecter les données de localisation de l’utilisateur. WhatsApp exhorte ses 1,5 milliard d'utilisateurs mondiaux à mettre immédiatement à jour l'application pour fermer le trou de la sécurité.

« WhatsApp encourage les utilisateurs à mettre à niveau leur dernière version de notre application et à maintenir leur système d'exploitation mobile à jour afin de se protéger contre les éventuels exploits ciblés visant à compromettre les informations stockées sur les appareils mobiles », a déclaré WhatsApp dans un communiqué.


La vulnérabilité existe dans les versions suivantes de WhatsApp:
  • WhatsApp pour Android avant la v2.19.134
  • WhatsApp Business pour Android avant la v2.19.44
  • WhatsApp pour iOS avant la v2.19.51
  • WhatsApp Business pour iOS avant la v2.19.51
  • WhatsApp pour Windows Phone avant la v2.18.348
  • WhatsApp pour Tizen avant la v2.18.15

La vulnérabilité découverte début mai a été prise pour cible dimanche dernier quand un avocat britannique spécialiste des droits de l’homme a été attaqué par le programme phare de NSO, le programme Pegasus, selon des chercheurs de Citizens Lab. L'attaque a été bloquée par WhatsApp. WhatsApp étudie la situation mais est jusqu'à présent incapable d'estimer le nombre de téléphones ciblés avec succès par l'exploit, a déclaré une source au Tal.

« Cette attaque a toutes les caractéristiques d'une entreprise privée connue pour travailler avec les gouvernements afin de fournir des logiciels espions qui auraient repris les fonctions des systèmes d'exploitation pour téléphones mobiles », a déclaré WhatsApp dans un communiqué transmis au Financial Times. « Nous en avons informé plusieurs organisations de défense des droits de l'homme, partagé les informations possibles et travaillé avec elles afin de tenir la société civile au courant ».

NSO affirme vendre Pegasus aux gouvernements et aux organismes chargés de l'application de la loi pour lutter contre le terrorisme et la criminalité. Cela n’empêche toutefois pas les pays, les organisations et les individus d’utiliser les logiciels espions de la société sans se laisser décourager par les préoccupations relatives aux droits de l’homme. En 2016, les logiciels espions de la NSO ont été impliqués dans l'attaque du militant des droits de l'homme émirati, Ahmed Mansoor. En 2018, les logiciels espions de la NSO étaient destinés à Carmen Aristegui, journaliste de télévision renommée, et à 11 autres personnes, alors qu’ils enquêtaient sur un scandale impliquant le président mexicain.

Les chercheurs affirment que les puissants logiciels espions de la NSO ont été utilisés par 45 pays au maximum dans la persécution des dissidents, des journalistes et d’autres civils innocents.

WhatsApp a déclaré que le correctif de vendredi avait été apporté aux serveurs de la société et visait à empêcher les attaques de fonctionner. La société a publié un correctif pour les utilisateurs finaux lundi. WhatsApp a déclaré avoir également révélé l'incident aux organismes américains chargés de l'application de la loi, afin de les aider à mener une enquête. Mardi, le groupe NSO a été confronté à une plainte devant un tribunal israélien concernant sa capacité à exporter ses logiciels. La plainte vient d'Amnesty International et d'autres groupes de défense des droits de l’homme.


WhatsApp en a informé la Commission irlandaise sur la protection des données

WhatsApp a informé son principal organisme de contrôle au sein de l’Union européenne, la Commission irlandaise de protection des données (DPC), d’une « grave vulnérabilité en matière de sécurité » sur sa plateforme.

« La DPC comprend que cette vulnérabilité a peut-être permis à un acteur malveillant d'installer un logiciel non autorisé et d'accéder aux données personnelles sur les appareils sur lesquels WhatsApp est installé », a déclaré le responsable de la réglementation dans un communiqué.

« WhatsApp enquête toujours sur le fait de savoir si des données d'utilisateur de WhatsApp UE ont été affectées à la suite de cet incident », a déclaré la DPC, ajoutant que WhatsApp l'avait informée de l'incident lundi soir.

Les experts en cybersécurité ont déclaré que la grande majorité des utilisateurs n'auraient probablement pas été affectés.

Scott Storey, maître de conférences en cybersécurité à l'Université Sheffield Hallam, estime que la plupart des utilisateurs de WhatsApp n'ont pas été affectés, car il semble s'agir de gouvernements ciblant des personnes spécifiques, principalement des défenseurs des droits de l'homme. « Pour l’utilisateur final moyen, il n’y a pas de quoi s’inquiéter », a-t-il déclaré, ajoutant que WhatsApp avait découvert la vulnérabilité et l’a rapidement corrigée. « Ce n'est pas quelqu'un qui essaie de voler des messages privés ou des détails personnels ».

Storey a déclaré que la divulgation des vulnérabilités est une bonne chose et qu'elle conduirait probablement à ce que d'autres services examinent leur sécurité.

Sources : Facebook, Financial Times, Reuters (1, 2)

Et vous ?

Êtes-vous un utilisateur de WhatsApp ? Allez-vous effectuer la mise à jour ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Membre expert https://www.developpez.com
Le 14/05/2019 à 18:54
Je ne suis pas utilisateur de Whatsapp mais je fais quand même la mise à jour car il est préinstallé et juste désactivable. Quelle galère ces smartphones !
Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 14/05/2019 à 19:00
C'est pas la première fois que WhatsApp est en cause c'est une vrai passoire en terme de sécurité, et une usine à vol de données personnelles, une vrai plaie, à désinstaller en urgence pour ceux qui le peuvent.
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 15/05/2019 à 11:08
Là le problème c'est peut-être plus l’entreprise israélienne NSO Group qui a développé le logiciel espion Pegasus que WhatsApp.
Les actions de l’entreprise ont également été dénoncées par le lanceur d’alerte Edward Snowden, qui avait révélé l’existence du programme de surveillance secret de la NSA, lors d’une téléconférence fin 2018. Il y qualifiait NSO Group de « pire des pires acteurs dans la vente de ces outils de vol [de données] ».

L’entreprise est également visée par une autre plainte, déposée fin 2018 en Israël par un proche du journaliste Jamal Khashoggi, assassiné peu avant dans l’ambassade des Emirats arabes unis à Istanbul. Selon la plainte, le téléphone de M. Khashoggi avait été mis sous surveillance courant 2018, par le biais du logiciel Pegasus de NSO Group. A l’époque, l’entreprise avait affirmé que ses logiciels « n’étaient vendus que pour être utilisés légalement par les gouvernements et les services de maintien de l’ordre dans le cadre de la lutte contre le crime et le terrorisme ».
Source : Une faille de sécurité de WhatsApp utilisée pour installer un logiciel espion israélien
Il existe une solution pour prendre moins de risque : utiliser un Nokia 3310.
On trouve encore des téléphones sans Android ou iOS.
Avatar de Andarus
Membre averti https://www.developpez.com
Le 15/05/2019 à 13:52
Citation Envoyé par Ryu2000 Voir le message
utiliser un Nokia 3310.
Le protocole sms est très loin d'être sécurisé

 
Contacter le responsable de la rubrique Sécurité

Partenaire : Hébergement Web