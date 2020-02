Un problème de sécurité critique a été découvert dans WhatsApp, qui pourrait permettre à un pirate de lire des fichiers stockés sur l’appareil d’un utilisateur si l’application de messagerie appartenant à Facebook n’est pas mise à jour avec le dernier correctif.

Issu d’une recherche sur une faille de sécurité trouvée en 2017 où un attaquant pouvait modifier le texte de la réponse d’une personne dans WhatsApp, le travail du chercheur en sécurité Gal Weizman de Perimeter X a révélé un certain nombre d’autres problèmes de sécurité. En fonction de la faille particulière, Weizman était capable d’effectuer des scripts intersites persistants (XSS) dans WhatsApp, ainsi que de pouvoir lire le système de fichiers local d’un destinataire en envoyant un seul message.

Les failles se sont avérées fonctionner sur la version de bureau de WhatsApp pour macOS et Windows, qui sont généralement associées à une version mobile, telle que l’application iPhone.

Dans leur travail, Weizman a trouvé des problèmes dans la politique de sécurité du contenu de WhatsApp qui ont ouvert la porte à des abus, les failles permettant une escalade de gravité. Sur le bas de gamme, cela comprenait la manipulation de la bannière WhatsApp, qui apparaît pour les messages qui contiennent des informations supplémentaires comme un lien vers un site Web, avec la falsification du message lui permettant de sembler être lié à Facebook, mais pourrait en réalité inclure une URL de site Web malveillant.

De nouveaux abus du CSP ont permis l’exécution de XSS, mais bien que cela soit normalement dommageable pour une application, la manipulation de la bannière sur la version de bureau de l’application a permis à l’attaquant de trouver des informations sur l’ordinateur de la victime et de lire localement. des dossiers. À ce stade, il a été constaté que la webapp basée sur Electron utilisait la version 69 de Chromium dans Electron 4.1.4, une version plus ancienne qui comprenait des vulnérabilités permettant aux attaques XSS de se produire.

L’utilisation de Chromium 69 est également un problème, car il existe plusieurs attaques d’exécution de code à distance possibles pour cette version, et quelques autres. Weizman a en outre suggéré que si WhatsApp avait simplement mis à jour son application Web Electron de 4.1.4 vers une version beaucoup plus récente, “ce XSS n’aurait jamais existé.”

Facebook a mis à jour l’application de bureau et iPhone fin janvier pour résoudre les problèmes. Electron est au cœur des plates-formes de messagerie et de collaboration Slack et Discord, mais il n’est pas clair si ces plates-formes ont été impactées ou ont été corrigées.

La révélation des failles relativement embarrassantes du client de bureau WhatsApp est un problème pour Facebook compte tenu de l’examen minutieux auquel la société est actuellement confrontée à la suite du piratage de l’iPhone du PDG d’Amazon Jeff Bezos. Le prince héritier saoudien Mohammed bin Salman a été impliqué dans le piratage informatique, qui a conduit à la divulgation d’informations compromettantes sur Bezos à un journal en 2018, car il s’agirait d’une vidéo malformée envoyée depuis le compte WhatsApp du prince.

Peu de temps après les déclarations, le responsable des affaires mondiales de Facebook et l’ancien vice-Premier ministre britannique Sir Nick Clegg ont insisté pour que l’application soit sécurisée. Dans une interview à la BBC, Clegg a insisté sur le fait que les messages cryptés de WhatsApp ne pouvaient “pas être piratés” et qu’il ne pouvait y avoir aucun changement au message en transit – ce qui n’est apparemment pas le cas. L’exploitation de cette faille client WhatsApp aurait pu facilement conduire au piratage de Bezos.

Les chercheurs en sécurité ont rapidement souligné que le chiffrement de bout en bout n’aurait pas d’importance si le message lui-même était dangereux à ouvrir.