En ce début d’année, une nouvelle vulnérabilité importante a été découverte qui aurait fortement impacté les 200 millions d’utilisateurs de l’application.
Whatsapp Web : Vulnérabilité découverte
Kasif Dekel, chercheur israélien travaillant pour Checkpoint a découvert une faille de sécurité nommée « MaliciousCard » sur l’interface de Whatsapp Web qui aurait pu faire d’importants dégâts s’il n’avait pas alerté l’entreprise. L’application Whatsapp permet aux utilisateurs d’effectuer des échanges directement depuis la fenêtre de son navigateur que ce soit des messages, des photos, des vidéos ou encore des fichiers audio mais également des cartes de contact au format vCard. Et c’est ce dernier élément qui aurait pu être corrompu et permettre l’envoi de malware directement.
Avec pour seul besoin, connaître le numéro de portable de sa victime, un pirate n’aurait eu qu’à envoyer une carte de contact infectée à plusieurs utilisateurs en attendant tranquillement à l’image du phishing que certaines personnes téléchargent cette fiche. Dans la logique des choses, une fois le téléchargement débuté, le fichier corrompu aurait pu servir pour injecter du code, voler des données, utiliser un ransomware pour faire payer les victimes, intégrer un bot ou encore un cheval de Troie. Fort heureusement, Whatsapp a rapidement corrigé cette faille par le biais d’une mise à jour.
Christophe Kiciak, Responsable de l’offre Audit technique et test d’intrusion de Provadys commente cette nouvelle faille découverte : « Avant tout, il faut relativiser et garder à l’esprit que les attaques visant les navigateurs existent depuis des années, avec des occurrences largement en hausse (150 failles affectant Internet Explorer répertoriées depuis le début de l’année par exemple, avec pour conséquence des millions d’ordinateurs piratés, des déploiements de cryptolockers, etc.). Cela tient principalement au fait qu’elles touchent encore plus de victimes. Une fois encore, les mêmes conseils de base s’appliquent : il ne faut pas donner suite à une sollicitation dont on ne connait pas l’auteur. Cliquer sur un élément en provenance d’un inconnu, de manière générale, c’est tendre le bâton pour se faire battre, que ce soit une application largement répandue comme WhatsApp, ou tout autre lien ou sollicitation quelle qu’elle soit.
(((IMG7894)))
Ceci étant, on peut tout de même être légitimement étonné : l’attaque n’est pas vraiment complexe techniquement (rien à voir avec les techniques mises en œuvre pour attaquer généralement les navigateurs). Ce type de déboires peut rappeler le fiasco mondial du WEP pour la sécurité WiFi il y a quelques années, où les industriels s’étaient précipités pour vendre, au détriment de la maturité. Sur une application distribuée aussi largement, un cycle de développement rigoureux s’impose, avec un passage par la case « audit de sécurité » impératif avant toute mise en production de nouvelles fonctionnalités. Dans le cas présent, on peut se demander si les précautions les plus élémentaires ont bien été mises en œuvre par l’éditeur ».
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Bâtir une entreprise AI-native : par où commencer
- La France à l’avant-garde de la conteneurisation et de l’IA générative
- La souveraineté numérique pour renforcer la cybersécurité
- Perspectives IA, Cybersécurité et STaaS en 2025
- Impact des outils d’IA sur la satisfaction, le niveau de stress et le bien-être !
