Demandez à Gal Weizman, chercheur chez PerimeterX, qui a entrepris l’an dernier de scruter la plateforme de messagerie la plus populaire au monde pour voir s’il pouvait mettre la main sur de nouvelles faiblesses.
Effectivement, récemment, nous avons appris qu’il avait découvert une série de vulnérabilités qui l’ont mené à une faille XSS (cross-site scripting) des plus savoureuses affectant WhatsApp Desktop pour Windows et macOS lorsque celui-ci est associé à WhatsApp pour iPhone.
Cette faille de sécurité WhatsApp qui vient d’être corrigée sous le nom CVE-2019-18426, est le genre de faiblesse que les utilisateurs de WhatsApp Desktop pour iPhone aimeraient plutôt ne jamais croiser.
Le problème immédiat a été causé par une faille dans le CSP (Content Security Policy) de WhatsApp, une couche de sécurité utilisée pour se protéger contre des attaques courantes, telles que celles de type XSS.
À l’aide d’un JavaScript modifié intégré dans un message spécialement conçu, un attaquant aurait pu exploiter cette faille de sécurité WhatsApp pour envoyer à de potentielles victimes des liens de phishing ainsi que d’autres associés à des malwares, intégrés à des aperçus weblink, et ce de manière totalement invisible pour la victime.
Selon Weizman, cette faille est probablement exploitable à distance, bien que les utilisateurs aient tout de même besoin de cliquer sur le lien pour qu’une attaque réussisse.
Cependant, cette faille de sécurité WhatsApp pourrait également être utilisée pour obtenir une autorisation de lecture sur le système de fichier local, c’est-à-dire la possibilité d’accéder et d’ouvrir des fichiers et, potentiellement, d’exécuter du code à distance (RCE).
Game Over !
Un problème sous-jacent est que WhatsApp Desktop utilise des versions plus anciennes du framework Chromium de Google, développées à l’aide de la multiplateforme Electron. Il s’agit d’un moyen pratique de développer des applications web qui fonctionnent également sur des ordinateurs de bureau. Mais, comme le souligne la synthèse de la recherche menée par PerimeterX, ces versions sont :
Vulnérables aux injections de code, bien que les nouvelles versions de Google Chrome soient protégées contre de telles modifications JavaScript. D’autres navigateurs tels que Safari sont toujours largement fragiles vis-à-vis de ces vulnérabilités.
Toutefois, de meilleures règles dans le CSP du logiciel auraient permis de mitiger une grande partie de ce XSS, tout comme la mise à jour d’Electron, a déclaré Weizman :
Lorsque Chromium est mis à jour, votre application basée sur Electron doit également être mise à jour, sinon vous laissez vos utilisateurs vulnérables à de sérieux exploits sans raison valable !
Les versions vulnérables de WhatsApp Desktop sont celles avant la v0.3.9309 associées à WhatsApp pour iPhone avant la version 2.20.10.
Ce n’est pas la première fois que WhatsApp requiert un correctif pour traiter des problèmes de sécurité. Les incidents récents concernaient une faille MP4 qui aurait pu conduire à une RCE, et des Gifs malveillants qui auraient eu le même effet sous Android.
En mai dernier, une faille WhatsApp zero-day sévère était exploitée par un groupe de type État-nation pour tenter d’installer des spywares au niveau de certaines cibles, via un simple appel. En 2018, les chercheurs de Google ont révélé une faille qui aurait pu compromettre un appareil, toujours via un simple appel.
On peut dire que le problème ici ne vient pas de WhatsApp à proprement parler, mais de la nature complexe des applications de messagerie modernes couplée à la volonté des chercheurs (et des acteurs malveillants) de scruter sans relâche l’application de communication la plus populaire au monde.
Avec toutes ses fonctionnalités de sécurité maintes fois mises en avant, les attaquants sont fortement motivés pour rechercher dans les entrailles de l’application des failles de sécurité qui pourraient bien venir contredire ce discours. Si vous êtes un utilisateur de WhatsApp, n’oubliez pas que cela ne changera pas de sitôt.
Dernier podcast Sophos-Naked Security
Billet inspiré de Update now – WhatsApp flaw gave attackers access to local files, sur Sophos nakedsecurity.