Une faille de sécurité a été découverte — et corrigée — sur WhatsApp. Très dangereuse, elle permettait à un hacker d’installer des spywares avec un simple appel… même quand on ne décroche pas.

On ne le répétera jamais assez : faites les mises à jour de vos applications lorsqu’elles sont disponibles ! C’est un conseil qui peut sembler anodin, mais qui est particulièrement important comme le prouve la toute nouvelle faille de sécurité découverte dans WhatsApp par l’équipe de développement de Facebook.

Cette vulnérabilité CVE-2019-3568 touche la version 2.19.134 de l’application Android (et les versions antérieures), ainsi que la version 2.19.51 sur iOS (et les versions antérieures). Particulièrement grave, cette faille permet aux hackers d’exécuter facilement du code à distance sur un smartphone.

L’appel à un ennemi

La faille de sécurité en question repose sur une vulnérabilité « buffer overflow » (un dépassement de la mémoire de cache) et permet à un attaquant d’envoyer des paquets de données à un smartphone contacté par un simple appel, et ce que la personne ciblée décroche ou non. Entre autres utilisations, cela permet à l’attaquant d’installer un spyware à distance sur un téléphone.

Cette vulnérabilité n’est cependant pas « triviale » à exploiter et un nombre très réduit d’appareils auraient été ciblés avant que le correctif soit déployé. Le spyware utilisé serait une propriété de la firme israélienne NSO Group, une société connue pour aider les gouvernements à accéder à des données ou déverrouiller des appareils bloqués lors d’enquêtes. NSO Group a annoncé au Financial Times enquêter sur ce problème.

Une faille corrigée

WhatsApp précise qu’il a fallu moins de 10 jours après la découverte de cette vulnérabilité pour corriger les infrastructures du service et que l’application a été mise à jour afin d’améliorer encore plus la sécurité. Dans le doute, pensez donc à mettre à jour votre application.

Les meilleures applications de messagerie instantanée pour discuter avec vos amis