Kasif Dekel, chercheur israélien travaillant pour Checkpoint a découvert une faille de sécurité nommée « MaliciousCard » sur l’interface de Whatsapp Web qui aurait pu faire d’importants dégâts s’il n’avait pas alerté l’entreprise. L’application Whatsapp permet aux utilisateurs d’effectuer des échanges directement depuis la fenêtre de son navigateur que ce soit des messages, des photos, des vidéos ou encore des fichiers audio mais également des cartes de contact au format vCard. Et c’est ce dernier élément qui aurait pu être corrompu et permettre l’envoi de malware directement.

Avec pour seul besoin, connaître le numéro de portable de sa victime, un pirate n’aurait eu qu’à envoyer une carte de contact infectée à plusieurs utilisateurs en attendant tranquillement à l’image du phishing que certaines personnes téléchargent cette fiche. Dans la logique des choses, une fois le téléchargement débuté, le fichier corrompu aurait pu servir pour injecter du code, voler des données, utiliser un ransomware pour faire payer les victimes, intégrer un bot ou encore un cheval de Troie. Fort heureusement, Whatsapp a rapidement corrigé cette faille par le biais d’une mise à jour.

Christophe Kiciak, Responsable de l’offre Audit technique et test d’intrusion de Provadys commente cette nouvelle faille découverte : « Avant tout, il faut relativiser et garder à l’esprit que les attaques visant les navigateurs existent depuis des années, avec des occurrences largement en hausse (150 failles affectant Internet Explorer répertoriées depuis le début de l’année par exemple, avec pour conséquence des millions d’ordinateurs piratés, des déploiements de cryptolockers, etc.). Cela tient principalement au fait qu’elles touchent encore plus de victimes. Une fois encore, les mêmes conseils de base s’appliquent : il ne faut pas donner suite à une sollicitation dont on ne connait pas l’auteur. Cliquer sur un élément en provenance d’un inconnu, de manière générale, c’est tendre le bâton pour se faire battre, que ce soit une application largement répandue comme WhatsApp, ou tout autre lien ou sollicitation quelle qu’elle soit.

(((IMG7894)))

Ceci étant, on peut tout de même être légitimement étonné : l’attaque n’est pas vraiment complexe techniquement (rien à voir avec les techniques mises en œuvre pour attaquer généralement les navigateurs). Ce type de déboires peut rappeler le fiasco mondial du WEP pour la sécurité WiFi il y a quelques années, où les industriels s’étaient précipités pour vendre, au détriment de la maturité. Sur une application distribuée aussi largement, un cycle de développement rigoureux s’impose, avec un passage par la case « audit de sécurité » impératif avant toute mise en production de nouvelles fonctionnalités. Dans le cas présent, on peut se demander si les précautions les plus élémentaires ont bien été mises en œuvre par l’éditeur ».