En ce début d’année, une nouvelle vulnérabilité importante a été découverte qui aurait fortement impacté les 200 millions d’utilisateurs de l’application.
Whatsapp Web : Vulnérabilité découverte
Kasif Dekel, chercheur israélien travaillant pour Checkpoint a découvert une faille de sécurité nommée « MaliciousCard » sur l’interface de Whatsapp Web qui aurait pu faire d’importants dégâts s’il n’avait pas alerté l’entreprise. L’application Whatsapp permet aux utilisateurs d’effectuer des échanges directement depuis la fenêtre de son navigateur que ce soit des messages, des photos, des vidéos ou encore des fichiers audio mais également des cartes de contact au format vCard. Et c’est ce dernier élément qui aurait pu être corrompu et permettre l’envoi de malware directement.
Avec pour seul besoin, connaître le numéro de portable de sa victime, un pirate n’aurait eu qu’à envoyer une carte de contact infectée à plusieurs utilisateurs en attendant tranquillement à l’image du phishing que certaines personnes téléchargent cette fiche. Dans la logique des choses, une fois le téléchargement débuté, le fichier corrompu aurait pu servir pour injecter du code, voler des données, utiliser un ransomware pour faire payer les victimes, intégrer un bot ou encore un cheval de Troie. Fort heureusement, Whatsapp a rapidement corrigé cette faille par le biais d’une mise à jour.
Christophe Kiciak, Responsable de l’offre Audit technique et test d’intrusion de Provadys commente cette nouvelle faille découverte : « Avant tout, il faut relativiser et garder à l’esprit que les attaques visant les navigateurs existent depuis des années, avec des occurrences largement en hausse (150 failles affectant Internet Explorer répertoriées depuis le début de l’année par exemple, avec pour conséquence des millions d’ordinateurs piratés, des déploiements de cryptolockers, etc.). Cela tient principalement au fait qu’elles touchent encore plus de victimes. Une fois encore, les mêmes conseils de base s’appliquent : il ne faut pas donner suite à une sollicitation dont on ne connait pas l’auteur. Cliquer sur un élément en provenance d’un inconnu, de manière générale, c’est tendre le bâton pour se faire battre, que ce soit une application largement répandue comme WhatsApp, ou tout autre lien ou sollicitation quelle qu’elle soit.
(((IMG7894)))
Ceci étant, on peut tout de même être légitimement étonné : l’attaque n’est pas vraiment complexe techniquement (rien à voir avec les techniques mises en œuvre pour attaquer généralement les navigateurs). Ce type de déboires peut rappeler le fiasco mondial du WEP pour la sécurité WiFi il y a quelques années, où les industriels s’étaient précipités pour vendre, au détriment de la maturité. Sur une application distribuée aussi largement, un cycle de développement rigoureux s’impose, avec un passage par la case « audit de sécurité » impératif avant toute mise en production de nouvelles fonctionnalités. Dans le cas présent, on peut se demander si les précautions les plus élémentaires ont bien été mises en œuvre par l’éditeur ».
Téléchargez cette ressource
Mac en entreprise : le levier d’un poste de travail moderne
Ce livre blanc répond aux 9 questions clés des entreprises sur l’intégration du Mac : sécurité, compatibilité, gestion, productivité, coûts, attractivité talents, RSE et IA, et l’accompagnement sur mesure proposé par inmac wstore.
Les articles les plus consultés
- Envahissement de l’Ukraine par la Russie : la cybersécurité en deuxième ligne, les SOC en alerte maximale
- Vol de propriété intellectuelle: détecter les copies de répertoires
- Les 6 recommandations pour les RSSI
- La fraude à l’identité numérique : les gestes qui sauvent
- Maintenez votre sécurité dans le temps
Les plus consultés sur iTPro.fr
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
- Avec l’IA agentique, la robustesse des SI redevient stratégique
- Les erreurs du secteur bancaire dans son approche IA
Articles les + lus
Le futur de la cryptographie post-quantique
Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
Analyse Patch Tuesday Juin 2026
À la une de la chaîne Sécurité
- Le futur de la cryptographie post-quantique
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
- Analyse Patch Tuesday Juin 2026
