Check Point décèle une faille dans les groupes WhatsApp
Le service de messagerie a corrigé la faille, qui aurait pu laisser des personnes mal-intentionnées envoyer des messages malveillants et nécessitait la réinstallation de l'appli
Les chercheurs de la société israélienne de cyber-sécurité Check Point Software Technologies Ltd. ont déclaré qu’ils avaient aidé à identifier et à corriger une nouvelle défaillance dans l’application de messagerie populaire WhatsApp.
Cette faille aurait en effet pu permettre à une personne mal intentionnée de livrer un message malveillant de groupe qui aurait fait planter l’application pour tous les membres du groupe.
Pour reprendre l’utilisation de WhatsApp, les utilisateurs doivent désinstaller et réinstaller WhatsApp, puis supprimer le groupe qui contient ce message.
WhatsApp compte 1,5 milliard d’utilisateurs et plus d’un milliard de groupes, ce qui en fait l’application de messagerie instantanée la plus populaire au monde. Plus de 65 milliards de messages sont envoyés via WhatsApp chaque jour.
Pour créer un message malveillant qui aurait un impact sur un groupe WhatsApp de cette façon, la personne mal intentionnée devrait être un membre du groupe (WhatsApp permet jusqu’à 256 utilisateurs par groupe), a déclaré Check Point, un fournisseur de logiciel de cyber-sécurité, dans un communiqué mardi.
A partir de là, la personne mal intentionnée devra utiliser WhatsApp Web et l’outil de debugging de son navigateur Web pour modifier des paramètres de message spécifiques et envoyer le texte modifié au groupe. Ce message modifié provoquerait un crash loop pour les membres du groupe, empêchant les utilisateurs d’accéder à toutes les fonctions de WhatsApp jusqu’à ce qu’ils réinstallent l’application et suppriment le groupe contenant le message malveillant.
« Parce que WhatsApp est l’un des principaux canaux de communication au monde pour les consommateurs, les entreprises et les agences gouvernementales, la possibilité d’empêcher les gens d’utiliser WhatsApp et de supprimer des informations précieuses des discussions de groupe est une arme puissante pour les personnes mal intentionnées », a déclaré Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits chez Check Point Research, la branche recherche du cabinet, dans son communiqué.
« Tous les utilisateurs de WhatsApp doivent mettre à jour la dernière version de l’application pour se protéger contre cette éventuelle attaque. »
Les chercheurs ont alerté le programme de bug de WhatApp au sujet de la faille en août. WhatsApp a pris acte des conclusions et a élaboré une solution pour résoudre le problème. Cette correction est disponible dans la version 2.19.58 de WhatsApp, que les utilisateurs doivent mettre à jour manuellement sur leurs dispositifs, indique la déclaration.
« Nous avons rapidement résolu ce problème pour toutes les applications WhatsApp à la mi-septembre », a déclaré Ehren Kret, ingénieur logiciel chez WhatsApp. « Nous avons aussi récemment ajouté de nouveaux contrôles pour éviter que des personnes ne soient ajoutées à des groupes non désirés afin d’éviter toute communication avec des parties non fiables. »
L’équipe de Check Point Research a trouvé la faille en inspectant les communications entre WhatsApp et WhatsApp Web, la version web de l’application qui reflète tous les messages envoyés et reçus du téléphone de l’utilisateur. Cela a permis aux chercheurs de voir les paramètres utilisés pour les communications WhatsApp et de les manipuler.