La vulnérabilité est maintenant corrigée, signifiant ainsi que si vous êtes l’un des 1 500 000 000 utilisateurs de la messagerie chiffrée, vous devez installer la mise à jour WhatsApp afin de posséder la dernière version, et ce sans plus attendre !
Il y a de fortes chances que votre application se soit déjà mise à jour elle-même, mais il s’agit d’une vulnérabilité sérieuse, nous vous conseillons donc de vérifier tout de même.
WhatsApp ne s’est pas beaucoup exprimé à ce sujet. La page de sécurité Facebook, le site web de WhatsApp et le fil Twitter de WhatsApp ne contiennent aucune information.
Au niveau de Google Play et de l’Apple Store, vous trouverez facilement des informations concernant la dernière version qui vous permet désormais d’afficher les stickers en taille réelle lorsque vous appuyez de manière prolongée sur une notification, mais aucune mention n’est faite de la dernière version qui empêche l’espionnage à distance.
Au lieu de cela, Facebook a réagi de façon très discrète, ressemblant plus à l’affichage d’une alerte de sécurité pour CVE-2019-3568 à l’arrière de la porte des toilettes dans un sous-sol non éclairé pendant que personne ne regardait. On pouvait lire :
Description : une vulnérabilité de type débordement de mémoire tampon dans la pile WhatsApp VOIP permettait l’exécution de code à distance via des séries de paquets SRTCP spécialement conçues et qui étaient envoyées à un numéro de téléphone cible.
Versions concernées : le problème concerne WhatsApp pour Android avant la v2.19.134, WhatsApp Business pour Android avant la v2.19.44, WhatsApp pour iOS avant la v2.19.51, WhatsApp Business pour iOS avant la v2.19.51, WhatsApp pour Windows Phone avant la v2.18.348 et WhatsApp pour Tizen avant la v2.18.15.
La description tente de vous expliquer que certaines personnes au courant de cette vulnérabilité passaient des appels téléphoniques vers des périphériques vulnérables pour installer des logiciels espions capables d’écouter des appels, de lire des messages et d’activer l’appareil photo.
The Telegraph rapporte qu’un “nombre restreint” d’utilisateurs a été affecté et a associé ce logiciel espion, installé par WhatsApp, au NSO Group : l’entreprise à l’origine du célèbre logiciel espion vendu aux gouvernements, appelé Pegasus.
Cette description donne l’impression que l’incident ressemble à une attaque contre des personnes spécifiques plutôt qu’à une tentative aveugle d’espionner autant d’utilisateurs WhatsApp que possible.
Mais cela n’empêchera pas d’autres utilisateurs d’abuser de cette vulnérabilité de différentes manières, vous devez donc toujours effectuer la mise à jour WhatsApp, même si vous pensez que vous ne serez probablement pas touché par cette attaque.
Quoi faire ?
- Si vous avez iOS. Allez sur App Store → Mises à jour. Si WhatsApp est automatiquement mis à jour, ‘Ouvrir’ apparaîtra, vous n’avez donc pas besoin de la mettre à jour. Si le message ‘Mise à jour’ s’affiche, continuez et installez la dernière version. Pour vérifier le numéro de la version actuelle, allez dans Réglages → Aide dans l’application elle-même (le numéro de version au 2019-05-14T22: 00Z était 2.19.51).
- Si vous avez Android. Allez sur Google Play dans Menu → Mes jeux et applications. Si WhatsApp est automatiquement mis à jour, ‘Ouvrir’ apparaîtra, vous n’avez donc pas besoin de la mettre à jour. Si le message ‘Mise à jour’ s’affiche, continuez et installez la dernière version. Pour vérifier le numéro de version actuelle, allez sur Paramètres → Aide → Infos de l’application dans l’application elle-même (le numéro de version au 2019-05-14T22: 00Z était 2.19.134).
- Si vous avez Sophos Mobile. Si vous êtes une entreprise utilisant Sophos Mobile, vous pouvez vérifier que tous les appareils de vos utilisateurs utilisent bien la dernière version de WhatsApp et vous avez la possibilité de mettre à jour l’application à distance si nécessaire.
Billet inspiré de Update WhatsApp now! One call could give spies access to your phone, sur Sophos nakedsecurity.