WhatsApp, Skype et Slack sont victimes d’une faille de sécurité

WhatsApp, Skype et Slack sont vulnérables. Ces trois logiciels reposent sur la technologie Electron, qui présente une importante faille de sécurité. Les développeurs ont été prévenus, mais ils font pour l’instant la sourde oreille et aucun correctif n’a été déployé pour y remédier. 

faille whatsapp skype slack

Lors de la conférence de sécurité BSides LV de Las Vegas, le développeur Pavel Tsakalidis a dévoilé une grave faille de sécurité sur la plateforme Electron, basée sur du JavaScript et Node.js. Problème : celle-ci est utilisée par plusieurs applications de communication très populaires, dont WhatsApp, Skype et Slack. Tous ces logiciels sont donc potentiellement exposés, comme le rapporte Ars Technica.

WhatsApp, Skype et Slack reposent sur la plateforme Electron, qui pose un risque de sécurité

Pavel Tsakalidis a mis au point un outil basé sur Python pour faire une démonstration des vulnérabilités d’Electron.
Celui-ci permet à quelqu’un de décompresser les fichiers d’archive Electron ASAR et d’injecter du nouveau code dans les bibliothèques JavaScript et les extensions du navigateur Chrome. Du code qui peut bien sûr être malveillant. Et ce n’est pas tout : la faille permet également de dissimuler les activités malveillantes dans des processus qui semblent anodins. Les antivirus et systèmes de protection peuvent donc passer à côté.

Lire aussi : WhatsApp : une faille permet d’envoyer des messages à votre place depuis plus d’un an

Le développeur explique qu’effectuer de tels changements requiert des accès administrateurs sur Linux et MacOS, mais qu’il suffit d’un accès local sur Windows, qui est donc plus exposé que les autres systèmes d’exploitation. Les pirates peuvent potentiellement accéder au système de fichiers, activer une webcam et exfiltrer des informations des systèmes utilisant les fonctionnalités d’applications de confiance. Il a averti Electron de cette faille de sécurité, mais n’a reçu à ce jour aucune réponse de leur part. La vulnérabilité n’a pas été corrigée.

Source : Ars Technica

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Kaspersky Antivirus a aidé les sites à vous espionner pendant des années

Kaspersky Antivirus a aidé les sites internet à espionner leurs visiteurs depuis l’automne 2015 : lorsqu’installé sur une machine, l’antivirus injectait en effet un identifiant unique sur les pages web, identifiant que les propriétaires de sites pouvaient discrètement récupérer et…

WhatsApp, Skype et Slack sont victimes d’une faille de sécurité

WhatsApp, Skype et Slack sont vulnérables. Ces trois logiciels reposent sur la technologie Electron, qui présente une importante faille de sécurité. Les développeurs ont été prévenus, mais ils font pour l’instant la sourde oreille et aucun correctif n’a été déployé…

WhatsApp : « 1000 Go d’internet gratuit » ? C’est une arnaque !

Une nouvelle arnaque circule sur WhatsApp : les chercheurs d’ESET expliquent que des personnes malveillantes sont en train de mener une campagne de monétisation au clic de grande ampleur.  Une nouvelle arnaque virale circule sur WhatsApp. Les chercheurs ont ainsi repéré…

Android : une simple vidéo permet de pirater des millions de smartphones

Une simple vidéo permet de pirater des millions de smartphones Android. Le problème vient d’une faille dans le framework Android Media. Google propose un patch depuis début juillet, mais des millions de smartphones restent vulnérables. D’autant plus qu’un développeur propose…

Surprise, vos données anonymes ne le sont pas du tout !

Vous pensiez vos données anonymes protégées ? Détrompez-vous ! Une étude révèle que les données anonymes sont en réalité une supercherie. 83% des Américains peuvent être ré-identifiés à partir de trois critères démographiques.

Firefox corrige une deuxième faille zero-day en 2 jours

Firefox vient de publier une nouvelle mise à jour, 48 heures environ après celle qui corrigeait une première faille zero-day. Le navigateur passe en version 67.0.4 qui corrige une deuxième vulnérabilité. Celle-ci est directement liée à la première. Un chercheur en sécurité du…