Une faille de sécurité potentiellement désastreuse a été découverte sur l’application de messagerie WhatsApp Web, permettant, entre autres, à des pirates informatiques d’accéder aux fichiers personnels des utilisateurs sur ordinateur.
WhatsApp, une faille majeure dans la sécurité
L’information, révélée le 4 février, n’est pas très rassurante pour les utilisateurs de l’application WhatsApp dans sa version desktop (sur ordinateur donc). Une faille a été signalée le mois dernier par Gal Weizman, chercheur en sécurité chez PerimeterX. WhatsApp a alors effectué une mise à jour afin de corriger celle-ci. Toutefois, précisons que la faille ne concernait pas tous les utilisateurs, seuls ceux ayant préalablement appairé un iPhone via leur compte WhatsApp étant concernés.
Breaking News: PerimeterX researcher @WeizmanGal discovered a critical #security vulnerability in WhatsApp that allows cybercriminals to read from the file system access. Read his story in the new technical blog: https://t.co/dy3XZV0fEP #XSS #JavaScript pic.twitter.com/9ncYTOIAd6
— PerimeterX (@perimeterx) February 4, 2020
Plus précisément, cette faille a été décelée dans la Content Security Policy (CSP). En permettant d’envoyer des messages et liens exploitant du Cross Site Scripting (XSS), du code malveillant pouvait alors être injecté dans l’application. De quoi rendre possible pour les pirates la consultation de tous les fichiers présents sur l’ordinateur de la victime.
Compte tenu de ces désagréments, l’utilisation d’anciennes versions de WhatsApp (antérieures à la 0.3.9309) est donc à bannir et les utilisateurs ont tout intérêt à effectuer la dernière mise à jour disponible pour l’application de messagerie.
Risques de phishing et logiciels de rançon
Parmi les autres conséquences de cette lacune sécuritaire de WhatsApp, le risque de voir afficher de faux contenus de sites web et des liens modifiés qui pointent vers des destinations malveillantes. La faille en question peut aussi être utilisée par les pirates pour faciliter les campagnes de phishing, diffuser des logiciels malveillants et même, potentiellement, des logiciels de rançon pour mettre en danger des millions d’utilisateurs, selon les mises en garde de PerimeterX.
WhatsApp, propriété de Facebook, compte plus de 1,5 milliard d’utilisateurs actifs chaque mois. Dont un certain nombre d’entreprises qui ont également recours à l’application, qu’il s’agisse de la communication avec les clients pour de la prospection ou par le service clients mais également pour des communications en interne entre collègues. Autre élément à retenir : un message malveillant ne peut fonctionner que s’il contient le texte « javascript : », aux utilisateurs d’être attentifs ! Ils doivent en outre éviter d’ouvrir des liens envoyés par des comptes inconnus. Les bannières et les URL de prévisualisation peuvent induire en erreur. Même si elles semblent légitimes, les utilisateurs ne doivent les ouvrir que lorsqu’elles proviennent d’une source fiable.
AK
Crédit photo : Wikimedia Commons (Public domain/WhatsApp Media)
[cc] Breizh-info.com, 2020, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine
