Facebook a confirmé hier, dans un bulletin de sécurité, la présence d’une faille dans la pile VoIP de sa messagerie instantanée chiffrée WhatsApp. Cette vulnérabilité permet d’exécuter du code à distance sur des smartphones sous Android ou iOS pour y introduire un logiciel espion. Les attaques passent par la fonction d’appel WhatsApp sans que les utilisateurs visés aient besoin de répondre - comme ce qui s'est passé avec FaceTime en début d'année -, rapporte le site d’Ars Technica. Un simple appel non abouti suffit donc pour infecter le terminal mobile. La vulnérabilité qui touche WhatsApp est une faille de saturation de la mémoire tampon (buffer overflow). Pour l’exploiter, les attaquants utilisent des paquets SRTCP (secure real-time transport control protocol) spécifiquement développés, adressés aux numéros de téléphone qu’ils ont ciblés.

La faille a été découverte il y a quelques jours, à l’occasion de modifications apportées pour améliorer la sécurité, selon un représentant de WhatsApp cité par Ars Technica. Le bulletin d’alerte publié hier par Facebook pour cette faille, numérotée CVE-2019-3568, précise l’ensemble des versions de logiciel qui sont concernées (*).

Un logiciel espion mis au point par NSO Group

Le logiciel espion a été mis au point par la firme NSO Group, a révélé pour sa part le quotidien britannique Financial Times. Cette société basée en Israël développe des logiciels d’attaque achetés par des gouvernements. Selon Amnesty International, qui vient d’engager une action judiciaire « pour mettre fin au système de surveillance créé par NSO Group », ces logiciels sont utilisés par certains états pour « bafouer les droits à la vie privée, à la liberté d’opinion et à la liberté d’expression ».

NSO Group est notamment à l’origine de l’application Pegasus qui permet d’explorer les messages privés des terminaux mobiles infectés, mais aussi d’activer le microphone et l’appareil photo du smartphone pour collecter des informations sensibles. Parmi les personnes ciblées figure notamment un défenseur des droits humains basés au Royaume-Uni dont le téléphone a été attaqué ce dimanche, selon le groupe de défense des droits Citizen Lab (qui suit par ailleurs les activités de NSO Group). WhatsApp dit avoir appliqué un correctif à ses serveurs en fin de semaine dernière et fourni hier un correctif pour ses utilisateurs.

(*) Dans le cas de WhatsApp pour Android sont affectées par la faille CVE-2019-3568 toutes les versions qui sont antérieures à la v2.19.134, dans le cas de WhatsApp Business pour Android, toutes celles antérieures à la v2.19.44, pour WhatsApp pour iOS, celles antérieures à la v2.19.51, pour WhatsApp Business pour  iOS, celles antérieures à la v2.19.51, pour WhatsApp pour Windows Phone, celles antérieures à la v2.18.348 et, enfin, pour WhatsApp pour Tizen, les versions antérieures à la v2.18.15.