Exploitée, la faille permettait à des pirates informatiques de prendre le contrôle des conversations privées.

L’application de messagerie WhatsApp se démarque de la concurrence par le fait qu’elle chiffre de bout en bout les conversations de ses utilisateurs. Un argument qui ne lui empêche pas de présenter des failles qui, exploitées, peuvent mettre à mal la confidentialité des conversations.

La dernière vulnérabilité en date, découverte par l’agence de sécurité informatique PerimeterX, permettait, si elle était exploitée, de prendre le contrôle d’un compte et d’envoyer des messages. Il était également question de pouvoir accéder aux fichiers personnels d’un utilisateur qui utilisait WhatsApp depuis un ordinateur.

Dans les faits, plusieurs anomalies présentes dans le code source de la version Web de WhatsApp permettaient à des pirates informatiques d’envoyer des liens vérolés dans les conversations. Si les utilisateurs cliquaient dessus, cela permettait aux pirates d’accéder au compte de l’utilisateur. Ils pouvaient alors lire les conversations, envoyer des faux messages et récolter toutes sortes d’informations. Mais le piratage de la version Web de l’application permettait également aux pirates d’accéder à l’ordinateur de leurs victimes.

Un problème de sécurité qui reposait sur la Politique de Sécurité des Contenus de WhatsApp via le partage de liens utilisant le cross-site scripting (XSS). En d’autres termes, en exploitant cette faille, les pirates pouvaient envoyer des liens malveillants à des utilisateurs.

Seuls les comptes appairés à un iPhone pouvaient être piratés, que ça soit depuis un PC ou un Mac.

« Les vulnérabilités de l’application de bureau WhatsApp peuvent être utilisées pour faciliter les campagnes de phishing, diffuser des logiciels malveillants et éventuellement même des rançongiciels pour mettre en danger des millions d’utilisateurs », a indiqué Gal Weizman, l’un des analystes qui a découvert le problème.

Prévenu du problème, Facebook a corrigé les failles de WhatsApp. Il est vivement conseillé de mettre à jour son application.