WhatsApp : une faille très grave permet de pirater un smartphone juste en l’appelant !

WhatsApp est visé par une nouvelle faille très grave qui permet de pirater un smartphone en lui passant un simple appel. La faille, découverte par le Google Project Zéro, est de type fuite/corruption mémoire, et se trouve dans l’implémentation du protocole RTP indispensable pour streamer la voix et la vidéo en temps réel lors des appels. Une mise à jour de WhatsApp est déjà disponible.

whatsapp faille

Si vous utilisez WhatsApp sur Android et iOS attention : une nouvelle faille de sécurité, rapportée par Natalie Silvanovitch, chercheur en sécurité du Google Project Zero, vient d’être découverte. Concrètement, un attaquant peut exploiter cette faille du protocole RTP pour provoquer une corruption de mémoire, un type d’attaque qui permet alors d’injecter du code dans la mémoire vive pour prendre le contrôle d’un appareil. Le Real-time Transport Protocol (RTP) fait partie de cette famille de protocoles fondamentaux comme le TCP (Transmission Control Protocol) qui gèrent la manière dont les applications communiquent sur internet.

WhatsApp : cette faille permet de pirater votre smartphone, mettez-le à jour au plus vite !

On ne vous parle pas de TCP par hasard : les deux sont extrêmement proches. Mais là où le RTP est conçu pour favoriser les communications en temps réel au détriment des paquets corrompus, le TCP est à l’inverse pensé pour la fiabilité. Du coup, la chercheuse a cherché à savoir si le protocole RTP implémenté dans WhatsApp l’autorisait à corrompre la mémoire du smartphone. Et… bingo !

Dans son rapport elle montre en effet que l’on peut envoyer des paquets corrompus pendant un appel audio, et faire planter l’application. En exploitant cette faille différemment, un autre chercheur, Tavis Ormandy, montre que l’on peut carrément injecter du code arbitraire dans la mémoire vive du smartphone cible. Il s’en émeut d’ailleurs dans un tweet : « c’est très grave. Juste répondre à un appel peut permettre à un attaquent de compromettre complètement WhatsApp ».

WhatsApp a été prévenu en amont, et a donc eu le temps de mettre une mise à jour en ligne que nous vous recommandons de faire au plus vite : si vous n’avez pas fait la mise à jour, vous courrez un danger d’autant que la faille est désormais bien documentée.

Avec 1,5 milliards d’utilisateurs dans le monde dont 14,5 millions en France WhatsApp n’a de cesse de renforcer sa sécurité. Ce qui ne l'empêche pas de faire régulièrement la Une pour des failles de sécurité. La dernière en date permettait à n’importe quel pirate d’envoyer des messages avec votre compte WhatsApp.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Instagram décide de retirer le bouton IGTV de l’application

Instagram décide de retirer le bouton IGTV de sa page d’accueil. Le réseau social a pris note de l’échec de l’application dédiée IGTV, et a donc préféré supprimer le raccourci disponible. De l’aveu d’Instagram, « très peu d’utilisateurs cliquaient sur cette…

Instagram permet enfin de s’échanger des messages privés sur le web

Instagram commence timidement à déployer les messages directs sur le web. Il devient donc possible, lorsque la fonctionnalité est active, de s’échanger des messages privés depuis n’importe quelle plateforme. La fonctionnalité était en test interne depuis de nombreux mois. Le…

TikTok : un SMS suffit pour pirater n’importe quel compte !

TikTok est victime d’une faille de sécurité majeure. Si elle venait à être exploitée, des pirates pourraient s’en servir pour modifier le contenu des vidéos publiées sur la plateforme. En outre, les hackers pourraient également accéder aux données personnelles des…

Facebook OS : le réseau social prépare une alternative à Android

Facebook développe actuellement une alternative à Android. Avec Facebook OS, la firme de Mark Zuckerberg cherche à prendre son indépendance vis à vis de Google. Ce système d’exploitation alternatif est avant tout destiné aux enceintes connectées Portal et aux casques…

Facebook vous traque en permanence même lorsque le GPS est désactivé

Facebook a admis que son application utilise diverses techniques pour collecter les données de localisation des utilisateurs. Désactiver les services GPS sur votre smartphone n’empêche pas le réseau social d’utiliser votre emplacement à des fins de ciblage publicitaire. Facebook récolte…

Antitrust : les États-Unis voudraient séparer Facebook, Instagram et WhatsApp

Selon le Wall Street Journal paru cette semaine, Facebook pourrait faire l’objet d’une injonction préliminaire menée par la commission fédérale américaine dédiée au commerce. Le but de cette enquête serait d’empêcher la firme de renforcer l’interopérabilité entre ces différents services,…