ABONNEZ VOUS A NOTRE NEWSLETTERUn bug qui permet à des agents malveillants d’interrompre de manière permanente les discussions de groupe sur la populaire plateforme de messagerie WhatsApp Messenger a été révélé mardi par des chercheurs de la société de cybersécurité israélienne Check Point Software Technologies.
La vulnérabilité, découverte par le bras de renseignement sur les menaces de l’entreprise, Check Point Research, a permis aux attaquants de livrer un message de chat malveillant qui bloquerait l’application du smartphone pour tous les membres du groupe. Pour récupérer l’utilisation de l’application, les utilisateurs devraient la désinstaller et la réinstaller et supprimer définitivement le groupe qui contient le message.
WhatsApp, une filiale de Facebook, compte 1,5 milliard d’utilisateurs et plus de 1 milliard de groupes, qui peuvent contenir jusqu’à 256 utilisateurs chacun. Plus de 65 000 millions de messages sont envoyés quotidiennement via la plateforme gratuite.
Les agents malveillants qui souhaitent s’adresser à WhatsApp doivent faire partie du groupe cible. Pour bloquer définitivement le groupe, les attaquants devaient utiliser WhatsApp Web et l’outil de débogage de leur navigateur Web pour modifier des paramètres de message spécifiques et envoyer le texte modifié au groupe, provoquant une boucle de blocage pour les membres et refusant l’accès à toutes les fonctions WhatsApp.
«Étant donné que WhatsApp est l’un des principaux canaux de communication au monde pour les consommateurs, les entreprises et les agences gouvernementales, la capacité d’empêcher les gens d’utiliser WhatsApp et d’éliminer les informations précieuses des discussions de groupe est une arme puissante pour les mauvais agents», a déclaré le chef de la recherche sur la vulnérabilité des produits à Check Point, Oded Vanunu. « Tous les utilisateurs de WhatsApp doivent être mis à jour vers la dernière version de l’application pour se protéger de cette éventuelle attaque. »
Les chercheurs ont identifié la vulnérabilité en inspectant les communications entre WhatsApp et la version Web, la version de bureau de la plate-forme qui reflète les messages envoyés et reçus depuis le téléphone de l’utilisateur. Les communications ont permis aux chercheurs de suivre les paramètres utilisés par l’application et de les manipuler.
Check Point a déclaré que ses conclusions ont été divulguées le 28 août à WhatsApp, qui a rapidement développé une solution pour résoudre le problème.
« WhatsApp apprécie grandement le travail de la communauté technologique pour nous aider à maintenir une sécurité élevée pour nos utilisateurs dans le monde entier », a déclaré Ehren Kret, directeur technique de WhatsApp.
«Grâce à l’envoi responsable de Check Point à notre programme de récompenses de bogues, nous avons rapidement résolu ce problème pour toutes les applications WhatsApp à la mi-septembre. Nous avons également récemment ajouté de nouveaux contrôles pour empêcher les gens de s’ajouter à des groupes indésirables afin d’éviter la communication avec des parties non fiables. »
En novembre, WhatsApp a lancé un nouveau paramètre de confidentialité qui permet aux utilisateurs de décider qui peut les ajouter aux groupes. Au lieu d’être automatiquement ajoutés aux groupes, les utilisateurs peuvent choisir de recevoir une invitation privée via un chat individuel, donnant la possibilité de rejoindre ou non.
[signoff]
