WhatsApp : une faille de l’application PC et Mac met vos fichiers à la merci des pirates !
L'application PC et Mac de WhatsApp est victime d'une nouvelle faille de sécurité assez sérieuse. Des pirates peuvent détourner l'application pour exécuter un code JavaScript qui leur donne accès, à distance, aux fichiers de la machine. Facebook recommande de mettre à jour les versions touchées.
WhatsApp est visé par une grave faille de sécurité. Découverte par le chercheur de PerimeterX Gal Weizman, la vulnérabilité permet d'accéder aux fichiers d'un utilisateur sur certaines versions de l'application bureau pour Windows 10 et macOS. Le chercheur raconte dans un post très détaillé comment fonctionnent les bannières qui se génèrent automatiquement dans les conversations lorsqu'on insère un lien.
Étonnamment ces bannières ne sont pas générées côté serveur, mais sur le client de l'utilisateur qui envoie le message. Dès lors, explique Gal Weizman, il est possible de manipuler le comportement de ces bannières. Et c'est ce qu'il a fait. Jusqu'à découvrir plusieurs failles. D'abord, il est possible de cacher un lien malicieux dans une adresse venant, en apparence, d'un site fiable.
Ensuite, il s'est rendu compte qu'il était possible de modifier ces bannières pour exécuter du code JavaScript sur l'appareil du destinataire. Au début rien de grave, puisqu'il n'a pu qu'afficher un message d'erreur vide. Puis avec un peu de travail, il s'est rendu compte qu'il était possible de contourner les protections de WhatsApp pour exécuter du code nettement plus dangereux.
Comment mettre à jour WhatsApp
Au final, l'auteur du hack est parvenu à exécuter un serveur à distance, sans jamais avoir touché la machine de sa victime. À ce moment-là, le chercheur pouvait lire les fichiers système sur la machine cible… Heureusement, Gal Weizman est un White Hat – il a donc prévenu Facebook en amont de sa découverte.
La firme de Mark Zuckerberg a rapidement mis en ligne une mise à jour qu'il est vivement recommandé d'installer. Que vous soyez sous Windows ou macOS, la procédure de mise à niveau est extrêmement simple. Elle vous permettra de corriger la faille de sécurité en question. Comme toujours, il vous suffit d'installer cette mise à jour de WhatsApp directement à partir du site officiel :
