Imaginez que vous répondiez à un appel vidéo dans WhatsApp et que vous réalisiez ensuite que votre compte a été piraté par un pirate informatique. Terrible, hein ? Pendant un certain temps, les applications Android et iOS ont connu un pépin qui pouvait faciliter ce type d’attaque, même si les chances étaient faibles. Quoi qu’il en soit, le problème a été réglé.
On peut supposer qu’un tel bogue peut être utilisé pour diffuser des logiciels malveillants parmi vos contacts ou permettre d’accéder à des fichiers personnels à partir de l’application, pour ne donner que quelques exemples.
Le problème a été révélé par Natalie Silvanovich, une chercheuse du Projet Zéro, une initiative de Google qui découvre les failles de sécurité des logiciels, communique les responsables du problème et émet une alerte publique si un correctif n’est pas publié à temps.
Selon M. Silvanovich, l’échec s’est produit lorsque l’utilisateur a reçu un paquet RTP (Real-time Transport Protocol, une norme pour l’envoi d’audio et de vidéo) malveillant qui a provoqué une erreur de mémoire corrompue. En conséquence, WhatsApp s’effondre et se ferme soudainement.
Tavis Ormandy, également membre du Projet Zéro, a expliqué que le problème ne s’arrêtait pas là. Il a averti que le bogue pouvait être exploité pour compromettre complètement le compte de la victime, il lui suffisait de répondre à l’appel vidéo avec le paquet malveillant pour risquer d’être exposé.
Responsable de WhatsApp, Facebook n’a pas tardé à publier les mises à jour. L’application Android a été fixée le 28 septembre. La version iOS a été publiée le 3 dernier. La version web de WhatsApp n’a pas été touchée.
Il s’est écoulé environ un mois entre la notification et la correction du problème. Facebook affirme n’avoir enregistré aucun cas d’utilisateurs touchés par l’échec pendant cette période.
