Un simple appel vidéo pouvait altérer l’application.
WhatsApp a corrigé une faille qui pouvait faire planter l’application au moment d’un appel vidéo. La brèche affectait aussi bien l’application sur Android et iOS et aurait pu permettre d’en prendre le contrôle.
C’est une vulnérabilité qui a été jugée sérieuse par Natalie Silvanovich, une experte en sécurité informatique travaillant chez Google. Mais c’est une faille qui est aujourd’hui corrigée. En effet, WhatsApp a diffusé le 23 septembre et le 3 octobre une nouvelle version de son application mobile pour Android et iOS, qui intègre le correctif. Tout ce qu’il reste à faire, c’est de mettre à jour le logiciel.
Si cette brèche fait parler d’elle, c’est parce que son existence a été révélée en début de semaine.
Il s’agit, explique-t-elle, d’un bug de corruption de mémoire dans l’implémentation de la visioconférence n’utilisant pas la technologie WebRTC. En clair, « le simple fait de répondre à un appel provenant d’un attaquant pouvait complètement compromettre WhatsApp », résume son collègue Tavis Ormandy, qui travaille dans la même équipe. « C’était une grosse affaire », ajoute-t-il.
La faille a été signalée par Natalie Silvanovich le 31 août, dans le cadre du Projet Zéro. Il s’agit d’une équipe mise en place par Google pour dénicher des vulnérabilités critiques dans les logiciels, notamment les failles 0-day (c’est-à-dire les brèches qui ne sont pas documentées ou dont le correctif n’est pas connu), et qui s’efforce de suivre les principes de la divulgation responsable.
Dans les grandes lignes, les membres du Projet Zéro, lorsqu’ils identifient un incident dans tel ou tel programme informatique, accordent un délai de 90 jours à l’entité qui en est à l’origine pour qu’elle prenne les mesures qui s’imposent. Pendant ce temps, l’existence de cette vulnérabilité est tenue secrète, les échanges d’informations se faisant en toute discrétion entre les parties prenantes.
Ce n’est qu’au moment de l’expiration de ce délai, ou lorsque le souci a été résolu, que la divulgation a lieu. C’est pour cette raison qu’un écart temporel significatif peut parfois être observé entre la date de découverte (ici, le 31 août) et celle de sa mention dans les médias (le 9 octobre). On notera au passage que ce délai de trois mois n’est pas toujours suffisant et est parfois source de tensions.
Dans une réaction obtenue par ZDNet, WhatsApp déclare « se soucier profondément de la sécurité de ses utilisateurs. Nous collaborons régulièrement avec des chercheurs en sécurité du monde entier pour nous assurer que WhatsApp reste sûr et fiable. Nous avons rapidement publié un correctif à la dernière version de WhatsApp pour résoudre ce problème ».
D’après les investigations menées par l’application de messagerie instantanée, aucun indice ne permet de dire, en l’état actuel des choses, que cette fragilité a été exploitée à des fins malveillantes. Quoi qu’il en soit, il est évidemment recommandé de récupérer la mise à jour depuis Google Play ou l’App Store si ce n’est pas déjà fait. En effet, la faille est maintenant publique.
