Des chercheurs en sécurité de Check Point ont révélé mercredi (15) une vulnérabilité dans les versions web de WhatsApp et Telegram qui permettait le détournement de comptes et l’accès aux historiques de chat des victimes. La faille a été découverte le 7 mars, et les deux applications de messagerie ont déjà corrigé les bogues.
Comment cela a-t-il été possible ? WhatsApp et Telegram sont tous deux dotés d’un cryptage de bout en bout (dans le cas de Telegram, uniquement dans le chat secret), qui empêche des tiers d’intercepter votre connexion pour consulter les messages. Le problème est que les versions web de ces applications pourraient exécuter un code malveillant caché dans des fichiers apparemment innocents qui donnent accès à vos données stockées localement.
En théorie, il suffisait qu’une personne malveillante envoie un fichier malveillant à la victime, qui ouvrait alors le document et se faisait détourner son compte. Ce fichier apparaîtrait comme une image dans la version web de WhatsApp mais dirigerait en fait l’utilisateur vers une page HTML contenant un logiciel malveillant. The Verge notez que puisque l’utilisateur doit ouvrir le fichier, la technique ne peut pas être utilisée pour la surveillance de masse ? ce n’est pas ainsi que le CIA pourrait vous surveiller.
Selon Check Point, la vulnérabilité “permettrait aux attaquants de s’emparer complètement des comptes des utilisateurs dans n’importe quel navigateur et d’accéder aux conversations privées et de groupe des victimes, ainsi qu’à leurs photos, vidéos, listes de contacts, autres fichiers partagés et plus encore”. Il serait possible ?de télécharger vos photos et/ou de les mettre en ligne, d’envoyer des messages en votre nom, de demander une rançon et même de reprendre les comptes de vos amis ?
Dans le cas de Telegram, la faute était plus difficile à exploiter. Comme le disait Pavel Durov dans le Telegram, vous deviez recevoir une vidéo, toucher “Play”, faire un clic droit et choisir “ouvrir dans un nouvel onglet” dans Chrome.
Il a été possible d’exploiter cette faille, notamment parce que WhatsApp et Telegram n’ont pas validé les messages avant de les envoyer sous forme cryptée, c’est-à-dire qu’ils n’ont pas “vu” le contenu et n’ont donc pas pu empêcher la diffusion du contenu malveillant. Après la découverte, les deux messagers ont commencé à valider les données partagées par les utilisateurs avant le cryptage.
Les détails techniques de la panne sont disponibles sur le blog de Check Point. Pour vous assurer que vous n’êtes pas affecté par la vulnérabilité, il suffit de mettre à jour la page du WhatsApp Web ou Telegram Web, et vous aurez déjà accès aux versions corrigées.
Mise à jour à 18h11 avec les commentaires du Télégramme.
