Lue 1167 fois







WhatsApp : attention aux contacts malveillants !

es millions de personnes qui communiquent via WhatsApp vont devoir être prudentes. En se promenant dans les arcanes du service de messagerie instantanée, un chercheur israélien, Kasif Dekel, a découvert une faille informatique pouvant causer de gros dégâts. C'est sa société, CheckPoint, qui l'a rendue publique, mardi.


Non sans avoir auparavant alerté WhatsApp, qui a corrigé le bug. Encore faut-il penser à faire la mise à jour…

WhatsApp, c'est cette application tendance, vendue l'an dernier à Facebook pour 22 milliards de dollars (17,5 milliards d'euros). Elle permet, chaque mois, à presque un milliard d'utilisateurs dans le monde, d'échanger des messages via Internet. Une alternative gratuite au SMS, bien pratique pour maintenir le contact avec un proche installé à l'étranger. Sans oublier les appels vocaux et vidéo, apparus ces derniers mois.

Baptisée «MaliciousCard», la vulnérabilité touche plus spécifiquement WhatsApp Web, une interface qui permet de consulter ses messages, non plus depuis l'application, mais depuis un navigateur Internet, sur un ordinateur par exemple. Disponible pour les propriétaires d'iPhone depuis le mois dernier, elle serait utilisée par environ 200 millions de personnes.

Comme souvent, le mode opératoire de l'attaque est pervers. L'utilisateur reçoit d'un autre une simple fiche contact (vCard), en apparence anodine, semblable à toutes les autres. En cliquant dessus, il télécharge sans le savoir un code qui ouvre la boîte de Pandore. L'attaquant n'aura plus qu'à lui envoyer une batterie de logiciels malveillants : des «rançongiciels» («ransomwares») pour demander une rançon contre ses données, des «bots» pour explorer son système ou encore des «chevaux de Troie» pour prendre le contrôle de son ordinateur.

Pour commettre son piratage, l'intrus n'a pas besoin d'outils sophistiqués : il lui faut juste connaître le numéro de téléphone de sa victime. Heureusement, CheckPoint a prévenu WhatsApp de la faille et le service a mis au point une mise à jour, disponible depuis la barre de notification de l'interface web.


Source: LEPARISIEN