La réception de vidéos MP4 via WhatsApp fait partie de la routine de beaucoup de gens, mais elle peut aussi représenter un sérieux problème de sécurité : une vulnérabilité dans l’application permet à l’utilisateur d’utiliser son smartphone ? Android ou iPhone ? pour être accessible à distance à partir d’un fichier avec une extension .mp4 dans le messager.
Appelé CVE-2019-11931, le problème a été jugé critique. En effet, le fichier MP4 malveillant peut provoquer un débordement de la mémoire tampon qui fait place aux techniques DoS (déni de service) et CER (exécution à distance de code malveillant).
En fonction de la manière dont ces techniques sont exploitées, l’utilisateur peut faire accéder ses messages WhatsApp à des tiers ou à des fichiers capturés, le tout à distance.
On s’inquiétait que cette faille ait été utilisée dans le plan d’espionnage des gouvernements de plus de 20 pays qui aurait été mené par la société israélienne NSO Group, cependant, il n’y a aucune preuve que la vulnérabilité CVE-2019-11931 ait été exploitée.
Cependant, le bogue a été corrigé le 3 octobre dans WhatsApp 2.19.274 pour Android et 2.19.100 pour iOS. La correction existe également dans WhatsApp Business depuis la version 2.19.104 pour Android et 2.19.100 pour iOS. Même WhatsApp pour Windows Phone a été corrigé (dans la version 2.18.368).
Bien que les correctifs aient été publiés il y a plus d’un mois, l’échec est considéré comme important car certains appareils utilisent encore des versions obsolètes de WhatsApp.
Le conseil ici s’avère évident : gardez les mises à jour automatiques activées sur votre téléphone et, bien sûr, faites très attention aux fichiers reçus via WhatsApp ou un service similaire.
