Une vulnérabilité dans WhatsApp vous permettait d’injecter des logiciels espions dans les iPhones et les téléphones Android en utilisant la fonction d’appel ? et vous n’aviez même pas besoin de répondre à l’appel pour être infecté. La société demande à tous les utilisateurs de mettre à jour l’application immédiatement ; la version publiée ce lundi (13) corrige le bogue. Le code malveillant a été développé par la société israélienne NSO Group.
C’est une attaque sophistiquée pour sa simplicité : l’attaquant avait juste besoin d’appeler la cible par le biais de WhatsApp. Cela permettrait d’installer un logiciel de surveillance sur les iPhones et les téléphones Android même si l’utilisateur ne répond pas à l’appel. Pire encore, selon le Financial Times, les appels ont souvent disparu de l’historique de la demande, ne laissant aucune trace apparente.
WhatsApp demande à tous les utilisateurs de passer à la dernière version de l’application. La société a également appliqué un correctif à ses serveurs vendredi dernier. Elle indique que ses équipes d’ingénieurs ont travaillé sans relâche à San Francisco et à Londres pour fermer la vulnérabilité, découverte début mai.
“Un nombre limité d’utilisateurs ont été ciblés par cette vulnérabilité par un acteur cybernétique avancé”, explique WhatsApp à Ars Technica. Sans parler du groupe NSO, la déclaration dit : “L’attaque a toutes les caractéristiques d’une entreprise privée qui travaille soi-disant avec les gouvernements pour distribuer des logiciels espions qui prennent le contrôle des fonctions des systèmes d’exploitation mobiles.
Ce sont les versions affectées par l’échec :
Le groupe NSO vend Pegasus pour espionner les téléphones portables
Le principal produit du groupe d’OSN est Pegasus, un programme qui peut activer le microphone et la caméra d’un téléphone portable, scanner les messages et collecter des données de localisation. Il s’agit d’un logiciel espion vendu aux agences de renseignement en Europe, en Amérique et au Moyen-Orient, annoncé comme un outil de lutte contre la criminalité et le terrorisme.
Cependant, des preuves indiquent que Pegasus est utilisé pour espionner les activistes des droits de l’homme au Moyen-Orient, les critiques du gouvernement mexicain et un dissident saoudien vivant au Canada. Un avocat du Royaume-Uni a aidé certaines de ces victimes à poursuivre le groupe NSO en Israël ? et a reçu un mystérieux appel par le biais de WhatsApp dimanche dernier. L’attaque n’a pas fonctionné.
WhatsApp en est encore aux premiers stades de l’enquête pour estimer combien de téléphones portables ont été touchés. Selon FT, la société a alerté le ministère américain de la Justice sur ce problème la semaine dernière et a contacté plusieurs organisations de défense des droits de l’homme.
Facebook, le propriétaire de WhatsApp, décrit la faille technique : “une vulnérabilité de débordement de tampon dans la pile VOIP de WhatsApp a permis l’exécution de code à distance par une série de paquets SRTCP spécialement créés et envoyés à un numéro de téléphone mobile.