[Digital Business Africa] – Les chercheurs en sécurité de Check Point ont annoncé mercredi 18 décembre 2019 qu’ils avaient détecté un grave défaut dans WhatsApp, actuellement l’application de messagerie instantanée la plus populaire au monde, détenue par Facebook et utilisée par plus de 1,5 milliard de personnes. Le défaut permettrait à un mauvais acteur de délivrer un message de discussion de groupe destructeur qui produit un crash rapide et complet de l’application entière pour tous les membres de la discussion de groupe.
Pour créer le message malveillant qui aurait un impact sur un groupe WhatsApp, le mauvais acteur devrait être membre du groupe cible (WhatsApp autorise jusqu’à 256 utilisateurs par groupe). À partir de là, le mauvais acteur devrait utiliser WhatsApp Web et l’outil de débogage de son navigateur Web pour modifier des paramètres de message spécifiques et envoyer le texte modifié au groupe. Ce message modifié entraînerait une boucle de blocage pour les membres du groupe, refusant aux utilisateurs l’accès à toutes les fonctions WhatsApp jusqu’à ce qu’ils réinstallent WhatsApp et suppriment le groupe avec le message malveillant.
« Parce que WhatsApp est l’un des principaux canaux de communication au monde pour les consommateurs, les entreprises et les agences gouvernementales, la possibilité d’empêcher les gens d’utiliser WhatsApp et de supprimer des informations précieuses des discussions de groupe est une arme puissante pour les mauvais acteurs. Tous les utilisateurs de WhatsApp doivent se mettre à jour vers la dernière version de l’application pour se protéger contre cette éventuelle attaque », explique Oded Vanunu, responsable de la recherche de vulnérabilité des produits de Check Point, dont les propos sont rapportés par le site Itnewsafrica.
Le crash est si grave que les utilisateurs sont obligés de désinstaller et de réinstaller l’application, afin d’utiliser correctement WhatsApp. En outre, l’utilisateur ne pourrait pas revenir au chat de groupe, ce qui entraînerait la perte de tout l’historique de chat de groupe, indéfiniment. La conversation de groupe ne pourrait alors pas être restaurée après le crash et devrait être supprimée pour arrêter la boucle de crash.
Gaëlle Massang
