Un petit correctif marketing s’impose tout de même : Faille. Mise à jour. Dès maintenant. Danger. Fichier MP4.
Tout récemment, Facebook a publié un avis de sécurité concernant une vulnérabilité de type débordement de mémoire tampon extrêmement dangereuse dans WhatsApp, baptisée CVE-2019-11931, qui pourrait être déclenchée par un fichier MP4 vidéo conçu de manière malveillante.
Elle est considérée comme une vulnérabilité à haut risque, notée 7.8, sur l’échelle CVE. Cette mise en garde est compréhensible : en effet, si elle n’est pas corrigée, elle pourrait permettre l’exécution de code à distance, qui pourrait ensuite permettre à des attaquants d’accéder aux fichiers et aux messages des utilisateurs. Cette faille de sécurité rend également les périphériques vulnérables aux attaques par déni de service (DDoS).
Facebook a déclaré que cette vulnérabilité affectait les versions de WhatsApp pour les téléphones iOS, Android et Windows. Le problème ne touche pas uniquement la version classique de WhatsApp : on la trouve également sur WhatsApp for Business et WhatsApp for Enterprise.
Il s’agit donc là d’un nombre colossal d’utilisateurs qui sont concernés : en effet, avec plus de 1,5 milliard d’utilisateurs actifs tous les mois, WhatsApp est l’application de messagerie mobile la plus populaire au monde, selon Statista.
Facebook a publié un correctif. Donc si vous ne l’avez pas déjà fait, il est temps de mettre à jour l’application. Voici l’explication technique de Facebook concernant cette vulnérabilité :
Un dépassement de mémoire tampon basé sur la pile pourrait être déclenché dans WhatsApp en envoyant un fichier MP4 spécialement conçu à un utilisateur WhatsApp. Le problème a été découvert lors de l’analyse syntaxique du flux de métadonnées de base d’un fichier MP4 et aurait pu permettre de lancer une attaque de type DoS ou RCE.
Un porte-parole de WhatsApp a déclaré à The Next Web qu’à l’heure actuelle, cette vulnérabilité n’a pas encore été exploitée sur le terrain :
WhatsApp travaille sans relâche pour améliorer la sécurité de notre service. Nous rendons publics des signalements de problèmes potentiels que nous avons résolus conformément aux meilleures pratiques utilisées dans notre secteur. Ainsi, il n’y a aucune raison de croire que des utilisateurs ont été touchés.
Voici les versions de l’application qui sont concernées :
- Les versions Android antérieures à 2.19.274.
- Les versions iOS antérieures à 2.19.100.
- Les versions Enterprise Client antérieures à 2.25.3.
- Les versions Windows Phone antérieures et incluant 2.18.368.
- Les versions Business for Android antérieures à 2.19.104.
- Les versions Business for iOS antérieures à 2.19.100.
Des liens dans les chaînes d’exploits
Bien que le fait ce bug n’ait pas encore été exploité soit une bonne nouvelle, ce n’est pas vraiment une raison pour se réjouir. En effet, ces failles peuvent être incorporées dans des chaînes d’exploits qui peuvent lier entre elles des vulnérabilités : une technique qui aurait été utilisée par des entreprises proposant des outils qui sont même susceptibles de casser le chiffrement de l’iPhone d’Apple.
En fait, le mois dernier, WhatsApp a poursuivi l’éditeur de spywares, NSO Group, concernant une vulnérabilité dite “zéro-clic” : cette dernière permettrait à des attaquants d’installer silencieusement des spywares en passant tout simplement un appel vidéo sur le téléphone de la personne ciblée.
L’attaque a permis à une ou plusieurs personne(s) d’appeler des dispositifs vulnérables pour installer des spywares qui pourraient ensuite écouter les appels, lire des messages et allumer l’appareil photo.
Les utilisateurs de WhatsApp ont été piratés par une attaque qui, selon l’entreprise, a été activée par des outils de type spyware standards émanant du groupe NSO, et en particulier le célèbre Pegasus.
Mettez à jour votre téléphone !
Vous n’avez rien à craindre si disposez déjà d’une nouvelle version de WhatsApp. Vérifiez toutefois si des mises à jour sont disponibles pour votre appareil.
Et s’il vous plaît faites cette vérification régulièrement : si vous utilisez WhatsApp, vous vous attendez à ce que cette application vous offre un service de messagerie sécurisée. Pour obtenir cette messagerie sécurisée, vous devez rester vigilant et constamment renforcer vos défenses contre d’éventuels attaquants qui souhaiteraient ouvrir une brèche et pénétrer au sein de votre enceinte chiffrée.
Billet inspiré de Update WhatsApp now: MP4 video bug exposes your messages, sur Sophos nakedsecurity.