Si vous utilisez le bureau WhatsApp non Windows ou macOS je vous recommande de faire la mise à jour immédiatement : un bug dans les anciennes versions du programme permet aux intrus d’accéder aux fichiers de votre ordinateur après avoir cliqué sur un lien apparemment inoffensif. En effet, l’application utilisait une version ancienne et vulnérable du navigateur Google Chrome.
WhatsApp Desktop dépend de la plateforme Electron, qui transforme les sites en programmes exécutables pour différents systèmes d’exploitation. Il est basé sur Chromium, le projet open source de Google Chrome.
Cependant, WhatsApp Desktop utilisait une très ancienne version d’Electron : elle était basée sur Chromium 69, alors que Chrome 78 était déjà sur le canal stable. L’écart avait déjà été comblé, mais Facebook n’avait pas mis en œuvre le correctif.
Toutes les versions de WhatsApp Desktop antérieures à la version 0.3.9309 sont vulnérables lorsqu’elles sont couplées avec WhatsApp pour iPhone 2.20.10 ou une version plus ancienne. Le programme ne fonctionne pas de manière indépendante (du moins pas encore).
WhatsApp Desktop a permis l’accès aux fichiers système
L’échec de WhatsApp Desktop implique une technique appelée XSS (cross-site scripting) : en gros, vous pouvez injecter du code JavaScript dans une page web normalement fiable et, selon le navigateur, lire des fichiers système ? même dans des dossiers comme Windows System32.
“Une vulnérabilité dans WhatsApp Desktop, lorsqu’elle est combinée avec WhatsApp pour iPhone, permet le XSS et la lecture de fichiers locaux”, explique la déclaration de sécurité de Facebook. Pour exploiter cette faille, une victime doit cliquer sur l’aperçu d’un lien dans un message.
Le chercheur Gal Weizman de la société de sécurité PerimeterX a découvert la faille. Il a réussi à utiliser une commande JavaScript appelée “fetch” pour lire des fichiers sur l’ordinateur : la faille de WhatsApp Desktop lui a permis d’accéder au fichier hôte à l’intérieur du dossier système C:Windows32, ce qui n’aurait normalement pas été possible.
Weizman a également découvert que vous pouvez modifier l’aperçu des liens dans les messages de WhatsApp : par exemple, l’application peut afficher l’icône et le titre de la page Facebook mais vous amener sur un autre site.
Ido Safruti, directeur technique de PerimeterX, affirme dans une déclaration que ces messages modifiés passeraient complètement inaperçus pour un utilisateur non professionnel. “Ces attaques seraient possibles simplement en modifiant le code JavaScript d’un seul message avant sa livraison au destinataire”, explique-t-il.