featuredImage

Pourquoi vous feriez mieux de mettre WhatsApp à jour rapidement

La firme de hacking israélienne NSO a exploité une faille de WhatsApp qui permet d'infecter un téléphone en l'appelant.

Avec le temps, vous avez fini par prendre le pli. Dans l’univers numérique, on n’ouvre pas de lien suspect. On ne répond pas à un e-mail d’un destinataire non vérifié. On ne télécharge pas de programmes ou d’applis dont on ignore la provenance, même (surtout) quand elles promettent richesse et désinfection de votre machine. Dans l’univers numérique, tout contenu étranger est une menace potentielle, c’est triste mais c’est comme ça. Et les menaces ne cessent de se diversifier. En 2019, à en croire un article publié le 13 mai par Financial Times, il faut désormais se méfier d’un simple appel via WhatsApp.

Selon le journal américain, la firme de cybersécurité israélienne NSO aurait découvert et exploité une vulnérabilité inédite (dite zero-day) qui permettrait à un assaillant d’injecter un malware dans un téléphone portable, accéder à toutes les données personnelles contenues dans l’appareil et de les récupérer, simplement en appelant la cible via WhatsApp. Même si celle-ci ne décroche pas. La faille fonctionne aussi bien sur Android (version 2.19.134 et antérieures) qu’iOS (version 2.19.51 et antérieures).

Suite à la publication de l’article, NSO a nié toute implication dans le choix des cibles, mais n’a pas réfuté les accusations du journal portant sur la commercialisation de l’attaque (appelée exploit). Le 13 mai, WhatsApp a confirmé l’existence d’une "grave vulnérabilité", informé les autorités compétentes (en France, la Cnil) et conseillé à tous ses utilisateurs de mettre à jour leur version de l’application (dans les magasins d’application officiels ou fiables, merci), la version récente contenant un correctif (patch) de sécurité.

Déborder la mémoire cache, une attaque classique

Malgré les tentatives de la presse spécialisée, comme Wired, WhatsApp n’a pour le moment pas souhaité en dire plus sur le fonctionnement de cette attaque mise au point par NSO. En réfléchissant un peu sur le fonctionnement de l’application et en interrogeant plusieurs spécialistes en cybersécurité, le magazine parvient à plusieurs conclusions.

La première, c’est que la faille ne provient probablement pas du protocole de chiffrement de bout en bout (end-to-end), qui permet à WhatsApp de sécuriser les données échangées entre les utilisateurs. L’application utilise en effet le protocole inventé par Open Whispers System, qui développé Signal, et le service a indiqué ne pas être vulnérable à cette faille. La seconde, c’est qu’à en croire la description faite par Facebook (qui, rappelons-le, possède WhatsApp), la vulnérabilité serait due à un bug relativement classique appelé "dépassement de mémoire tampon" – en anglais, on dit buffer overflow.

Concrètement, WhatsApp repose sur le protocole "voice over internet" (VoIP) pour vous permettre de passer des appels. Ce protocole est complexe et fait parfois appel à différents types de services, chacun pouvant être exploité séparément. Lorsque quelqu’un vous appelle, WhatsApp reçoit des paquets de données en provenance d’une source inconnue et les traite, ne serait-ce que pour vous notifier de l’appel en faisant sonner votre téléphone.

Pour anticiper un éventuel sursaut du volume de données, l’application possède un "compartiment" de mémoire dédiée, la mémoire cache. L’attaque de buffer overflow consiste à envoyer un paquet de données suffisamment volumineux pour que ce compartiment "déborde" et que certaines données se retrouvent sur votre appareil – dans ce cas précis, un programme espion, qui permet à l’assaillant d’exécuter des commandes à distance pour contrôler votre machine. Ce type d’attaque fait partie de l’arsenal classique des assaillants cyber, et son exécution varie en complexité selon la cible.

NSO Group, mercenaires des failles de sécurité ?

Dans le cas de WhatsApp, la complexité de l’attaque a empêché son utilisation massive. Interrogée par Ars Technica, la firme a assuré qu'"un nombre restreint d’utilisateurs a été visé au travers de cette vulnérabilité par un acteur cyber avancé [sic]". Parmi eux, un avocat des droits de l’homme basé au Royaume-Uni, précise Ars Technica. L’immense majorité du 1,5 milliard d’utilisateurs de l’application est donc parfaitement sauve (enfin, ceux qui ont fait leur mise à jour, en tout cas).

Après les révélations du Financial Times, c’est désormais le volet judiciaire de l’affaire qui débute. Après avoir corrigé la vulnérabilité lundi 13 mai, WhatsApp a transmis ses informations aux forces de l’ordre américaines afin qu’elles puissent mener l’enquête, notamment sur le rôle de la firme NSO dans la conception de l’attaque.

L’entreprise israélienne est déjà connue pour commercialiser le logiciel espion Pegasus, spécifique aux iPhones, et ne pas vraiment faire de distinctions entre les acheteurs. Le programme aurait ainsi été utilisé par plusieurs gouvernements contre des journalistes (comme le Mexicain Rafael Cabrera) ou des dissidents politiques (le Saoudien Ahmed Mansoor, exilé au Canada, voire Jamal Khashoggi), révélait Forbes en 2016.

Deux jours avant l’affaire WhatsApp, Amnesty International portait plainte auprès de la justice israélienne contre NSO Group, affirmant que son puissant logiciel espion Pegasus était utilisé contre certains de ses membres et d’autres défenseurs des droits de l’homme à travers le monde. L’ONG réclame la fin du permis d’export accordé à l’entreprise par le ministère de la Défense. Pour le moment, la firme israélienne n’a publié aucune déclaration en réponse à ces allégations.

Par Thibault Prévost, publié le 15/05/2019