Plusieurs logiciels de communication pour ordinateurs comme Skype, Slack ou WhatsApp sont sous la menace de failles très dangereuses à cause du très mal sécurisé Electron, structure de ces logiciels.

Electron est un framework, une base ou une structure de développement pour des logiciels. Très populaire, il est utilisé pour Skype, Slack, WhatsApp ou encore le gestionnaire de mots de passe Bitwarden.

A la conférence BSides Las Vegas sur la sécurité informatique, un développeur du nom de Pavel Tsakalidis a dévoilé un outil pouvant accéder à une backdoor d’Electron et offrant la possibilité à un hackeur d’accéder à différents paramètres de l’ordinateur comme la webcam ou des fichiers stockés en interne.

Encore plus dangereux sur Windows

Il a pu développer son outil sur Windows, Linux et MacOS. Cependant, les deux derniers requièrent les droits administrateurs alors que Windows ne demande que les droits pour accéder au stockage. Il est ainsi encore plus facile d’attaquer Electron depuis un ordinateur sous l’OS de Microsoft.

Le problème d’Electron sont que certains fichiers ne sont pas chiffrés et le logiciel n’ira pas vérifier leur vulnérabilité au lancement, ouvrant la porte à des attaques discrètes.

Pour montrer un exemple de ce qu’une application modifiée par son outil pouvait créer, il a utilisé Bitwarden. Lorsqu’il est lancé, il va envoyer toutes les informations sur les mots de passe et les identifiants au pirate.

Lien YouTube S’abonner à FrAndroid

Pavel Tsakalidis a contacté Electron pour leur communiquer en détail ce qui était à corriger mais il n’a pas eu de réponse pour l’instant.