Vous en avez probablement déjà entendu parler : il existe un message WhatsApp qui circule et qui peut causer un blocage ou un plantage de l’application éponyme de votre smartphone (en partant du principe que ces deux conséquences soient différentes).
Votre niveau d’inquiétude dépend bien évidemment des informations que vous avez reçues.
Certains articles ont préféré se réfugier derrière des mises en garde alarmantes, en vous exhortant à faire attention au “message piégé qui pourrait bien détruire votre téléphone“, ce qui est certes dramatique sans pour autant être définitif (après tout, vous pourriez gagner la loterie demain, même si cela est quasiment impossible).
D’autres articles ont insisté sur le fait que les dommages causés étaient plus que de simples théories. En effet, le Birmingham Mail, par exemple, a intitulé son article de manière à pouvoir affirmer sans équivoque que “ce message WhatsApp piégé était en train de détruire les téléphones de ces destinataires“.
Heureusement, l’article lui-même est un peu plus conciliant, notant que :
Si vous recevez [le message piégé] sur votre téléphone, que ce soit un iPhone ou un Android, il pourrait ne plus vous permettre de répondre, vous obligeant ainsi à le redémarrer.
A priori, c’est à peu près la pire des situations, et après le redémarrage, vous pourrez même être en mesure de supprimer le message WhatsApp malveillant afin qu’il ne vous perturbe plus.
À ce stade, vous vous demandez probablement comment quelque chose d’aussi basique qu’un message peut avoir de telles répercutions au sein d’un logiciel moderne.
Visionner des vidéos en Streaming, effectuer des transactions Bitcoin, chiffrer des fichiers, afficher des pages web complexes et interactives, reconnaître des empreintes digitales et des visages, afficher des cartes 3D en constante évolution pour la navigation par satellite en temps réel …
… sont de véritables problèmes complexes, qui nécessitent beaucoup de puissance de calcul et de la RAM pour effectuer des calculs puissants sur beaucoup de données.
Mais quelles est la complexité d’afficher un message texte ?
Le dernier message WhatsApp piégé, par exemple, était même disponible publiquement, ainsi vous pouviez le télécharger vous-même, et il semblait très simple à première vue :
Comme nous l’avons illustré dans l’image ci-dessus, le message est en réalité bien supérieur à 100 ko, car il est rempli de caractères vous indiquant comment afficher le texte, plutôt que quel texte afficher.
Dans ce cas, il existe des milliers de paires de caractères marqueurs dans la séquence qui disent, “à partir de maintenant, écrivez de gauche à droite, et comme d’habitude en Anglais“, suivi immédiatement de “changement d’avis, maintenant aller de droite-vers-la-gauche, et en Hébreu“.
Et ainsi de suite, le fichier indique en réalité à n’importe quelle application qui l’aurait téléchargé de continuer à changer de sens d’écriture, même s’il n’y a rien à afficher entre chaque changement de sens d’écriture.
Les marqueurs “allez-juste-à-gauche-et-ensuite-à-droite” sont coincés, en tant que caractères Unicode, entre l’emoji “rire-jusqu’à-en-pleurer” et le dernier guillemet :
Vous pourriez penser que le sens d’écriture d’un texte n’a pas besoin de son propre caractère spécial, si vous partez du principe que le réglage de ce sens s’applique toujours à des documents entiers.
Mais beaucoup de langues qui s’écrivent de droite à gauche, comme l’Arabe et l’Hébreu, écrivent couramment les nombres avec des chiffres indiens, tout comme nous le faisons en Anglais lorsque nous écrivons une phrase telle que “un mile contient 63 360 pouces“.
Ainsi, les textes écrits avec ces types de langages doivent donc systématiquement composer du texte à partir de la droite, puis avancer et écrire les chiffres en partant de la gauche et en reculant vers le texte qui vient d’être saisi, puis revenir en arrière, en sautant les chiffres “écrits en allant en arrière“, et en positionnant le texte de droite à gauche.
De même, les applications d’édition de texte et de traitement de texte doivent savoir comment faire avancer le curseur d’avant en arrière le long d’une ligne lorsque le point d’édition dans le fichier se déplace suivant les différents sens d’écriture du texte.
Il existe également de nombreux autres types de caractères non imprimables couramment utilisés dans le texte Unicode, tels que ceux utilisés pour assembler plusieurs caractères dans un formulaire composé, et dans lequel ils sont généralement affichés.
Composer des caractères dans des formes différentes semble souvent bizarre aux anglophones. Mais n’oubliez pas qu’en Anglais il était courant d’écrire le mot THE avec les lettres TH combinées dans une forme qui ressemblait un peu à un Y moderne, mais qui n’en était pas un. Aujourd’hui, nous donnons l’impression d’un retour en arrière en écrivant des phrases comme “Ye Olde Gift Shoppe”, mais le mot qui ressemble aujourd’hui à “Ye” est en fait une manière alternative d’écrire “the” (et en réalité il est prononcé “the”, pas “ye”).
L’affichage de vieux messages textes n’est donc pas aussi simple que de lire des octets, un à un, et de les afficher les uns après les autres, comme Apple l’a découvert récemment lorsqu’un seul personnage Telugu, composé de plusieurs sous-composants assemblés de manière spéciale, pouvait faire planter iOS.
Quoi faire ?
- Ne paniquez pas : les signalements de téléphones “détruits” sont exagérés.
- Redémarrez votre téléphone si nécessaire.
- Supprimez tous les messages malveillants.
- Surveillez la disponibilité d’une mise à jour de WhatsApp : ils sont en train d’y travailler, si ce n’est pas déjà corrigé !
- N’envoyez pas de messages piégés à vos amis : c’est peut être une blague, mais ce n’est pas drôle !
Rappelez-vous du dernier point en particulier.
Les farces en matière de cybersécurité sont nombreuses : il est facile d’envoyer de fausses fenêtres pop-ups de virus dans des emails à des amis, rire en envoyant des messages piégés ennuyants-plutôt-que-réellement-dangereux, mettre des rendez-vous stupides dans le calendrier d’un collègue pendant que son ordinateur est déverrouillé et qu’il a le dos tourné.
Mais s’il vous plaît ne le faites pas !
La cybersécurité est d’ores et déjà un combat et une lutte au quotidien, sans avoir besoin d’en rajouter avec des blagues irritantes ou embarrassantes …
… et de plus beaucoup de ces “blagues” sont illégales, de toutes les façons, alors ne vous attendez pas à de la clémence si vous vous faites attraper !
Billet inspiré de The WhatsApp text bomb – no, it won’t destroy your phone!, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.