C’est une vulnérabilité qui a été jugée sérieuse par Natalie Silvanovich, une experte en sécurité informatique travaillant chez Google. Mais c’est une faille qui est aujourd’hui corrigée. En effet, WhatsApp a diffusé le 23 septembre et le 3 octobre une nouvelle version de son application mobile pour Android et iOS, qui intègre le correctif. Tout ce qu’il reste à faire, c’est de mettre à jour le logiciel.
Si cette brèche fait parler d’elle, c’est parce que son existence a été révélée en début de semaine.
Il s’agit, explique-t-elle, d’un bug de corruption de mémoire dans l’implémentation de la visioconférence n’utilisant pas la technologie WebRTC. En clair, « le simple fait de répondre à un appel provenant d’un attaquant pouvait complètement compromettre WhatsApp », résume son collègue Tavis Ormandy, qui travaille dans la même équipe. « C’était une grosse affaire », ajoute-t-il.
La faille a été signalée par Natalie Silvanovich le 31 août, dans le cadre du Projet Zéro. Il s’agit d’une équipe mise en place par Google pour dénicher des vulnérabilités critiques dans les logiciels, notamment les failles 0-day (c’est-à-dire les brèches qui ne sont pas documentées ou dont le correctif n’est pas connu), et qui s’efforce de suivre les principes de la divulgation responsable.
Dans les grandes lignes, les membres du Projet Zéro, lorsqu’ils identifient un incident dans tel ou tel programme informatique, accordent un délai de 90 jours à l’entité qui en est à l’origine pour qu’elle prenne les mesures qui s’imposent. Pendant ce temps, l’existence de cette vulnérabilité est tenue secrète, les échanges d’informations se faisant en toute discrétion entre les parties prenantes.
Ce n’est qu’au moment de l’expiration de ce délai, ou lorsque le souci a été résolu, que la divulgation a lieu. C’est pour cette raison qu’un écart temporel significatif peut parfois être observé entre la date de découverte (ici, le 31 août) et celle de sa mention dans les médias (le 9 octobre). On notera au passage que ce délai de trois mois n’est pas toujours suffisant et est parfois source de tensions.
Dans une réaction obtenue par ZDNet, WhatsApp déclare « se soucier profondément de la sécurité de ses utilisateurs. Nous collaborons régulièrement avec des chercheurs en sécurité du monde entier pour nous assurer que WhatsApp reste sûr et fiable. Nous avons rapidement publié un correctif à la dernière version de WhatsApp pour résoudre ce problème ».
D’après les investigations menées par l’application de messagerie instantanée, aucun indice ne permet de dire, en l’état actuel des choses, que cette fragilité a été exploitée à des fins malveillantes. Quoi qu’il en soit, il est évidemment recommandé de récupérer la mise à jour depuis Google Play ou l’App Store si ce n’est pas déjà fait. En effet, la faille est maintenant publique.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !