WhatsApp, la messagerie utilisée par des milliards de personnes à travers le monde, fait face à une faille de sécurité sérieuse. L’équipe Project Zero de Google a révélé publiquement ce problème après l’échec de Meta à le corriger dans les délais impartis.
Un chercheur en sécurité de chez Google vient de lever le voile sur une brèche importante affectant l’application Android de WhatsApp. Brendon Tiszka, membre de l’équipe Project Zero, a détaillé dans un rapport public comment des pirates informatiques peuvent exploiter le système de téléchargement automatique des médias pour infiltrer les appareils des victimes. Cela intervient alors que Meta n’a pas réussi à déployer une correction complète dans le délai standard de 90 jours accordé par le géant de Mountain View.
Une méthode d’attaque qui exploite les groupes de discussion WhatsApp
L’exploit repose sur un scénario précis mais redoutablement efficace. Un pirate doit d’abord créer un groupe de conversation et y ajouter sa cible ainsi qu’un contact de celle-ci. En nommant ce contact administrateur, l’attaquant peut ensuite diffuser un fichier média malveillant qui se télécharge automatiquement sur l’appareil de la victime, sans aucune action de sa part. Le fichier atterrit dans la base de données MediaStore et, s’il parvient à s’en échapper, peut exécuter du code nuisible de manière totalement invisible pour l’utilisateur.
Malgré la gravité potentielle de cette faille, plusieurs conditions doivent être réunies pour qu’une attaque réussisse. L’attaquant doit connaître ou deviner les numéros de téléphone de la victime et de son contact. Par ailleurs, le fichier malveillant doit suffisamment être sophistiqué pour accomplir des actions néfastes une fois dans le système. Les utilisateurs qui activent la confidentialité avancée des discussions ou désactivent le téléchargement automatique des médias sont par défaut protégés.
