Jusqu’à récemment, les pirates avaient un moyen simple et original pour pirater les ordinateurs et d’en prendre le contrôle : il leur suffisait d’envoyer un exécutable malicieux au travers Whatsapp Web, la version web du service de messagerie, et d’inciter la cible à cliquer dessus.
Les chercheurs en sécurité de Check Point ont en effet découvert une faille béante dans le protocole de communication qui permettait à un attaquant d’envoyer n’importe quel type de fichier sans que celui-ci ne soit vérifié ou bloqué. Il suffisait pour cela de le taguer simplement comme étant une carte de visite numérique vCard. « Nous étions étonnés de voir que Whatsapp ne réalisait aucune validation du format vCard ni du contenu du fichier (…) Des attaquants malins peuvent exploiter cela de différentes manières et renforcer l’arnaque en s’appuyant sur l’icône », explique l’éditeur dans une note de blog.
Autre possibilité : envoyer un vrai fichier vCard en injectant du code malicieux directement dans le champ du nom de la personne. Chacun peut le faire avec son application de carnet d’adresse. Il suffit de séparer le code du nom au moyen du caractère « & » et d’indiquer « .bat » comme extension de fichier.
Check Point a prévenu Whatsapp le 21 août dernier. Le service de messagerie a été patché quelques jours plus tard, le 27 août. Cette faille a-t-elle pu faire beaucoup de victimes ? Difficile de savoir. Whatsapp compte 900 millions d’utilisateurs actifs par mois, ce qui est énorme. Mais on ne connait pas le nombre d’utilisateurs de Whatsapp Web, qui n’existe que depuis janvier dernier.
Source :
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
