Le WhatsApp Web est une alternative pour ceux qui veulent envoyer des messages depuis l’ordinateur, mais peut également être utilisé pour appliquer des escroqueries. Un bogue découvert en août et corrigé en septembre a permis à l’application de planter sur le mobile de tous les participants d’un groupe.
Selon l’entreprise de sécurité Check Point Research, qui a découvert l’erreur, WhatsApp Web a permis à tous les membres du groupe d’exécuter une boucle sur leur téléphone qui a fait que l’application a cessé de répondre.
Cela était possible lors de la modification des paramètres d’un message par le biais du navigateur developpeur tools. Pour résoudre le problème, les victimes ont été obligées de désinstaller et de réinstaller l’application du téléphone et de supprimer le groupe concerné.
Le problème est que dans de nombreuses situations, les personnes concernées n’avaient pas de sauvegarde des conversations les plus récentes et ont perdu des informations importantes. Dans le meilleur des cas, ils n’ont perdu que l’historique des messages du groupe dans lequel le message malveillant avait été envoyé.
Comme la solution n’était pas connue de tous les utilisateurs, beaucoup ont cessé d’utiliser WhatsApp. Les escrocs avaient donc la possibilité d’envoyer des SMS en profitant du fait que l’application était inaccessible.
Les messages pourraient comporter des promesses de récupérer les conversations perdues et amener les victimes à cliquer sur des liens malveillants qui aggraveraient leur situation. Pour Wired, le responsable de la recherche sur la vulnérabilité des produits de Check Point, Oded Vanunu, a souligné le fait que le problème est peu connu.
“Les gens pourraient recevoir ces messages et l’application échouerait et ils ne sauraient pas quoi faire”, a-t-il déclaré. “Nous voyons déjà que de mauvais acteurs utilisent WhatsApp pour attaquer des cibles, ce n’est donc pas le genre de chose qui sort de l’ordinaire.
Selon WhatsApp, il n’a trouvé aucun signe d’exploitation de cette faille. L’équipe responsable de l’application a déclaré qu’en plus de régler le problème en septembre, elle a ajouté de nouveaux contrôles pour empêcher que des utilisateurs soient ajoutés dans des groupes sans autorisation.