Check Point, spécialiste de la sécurité IT et pionnier des solutions pare-feu, a découvert une faille dans la version Web de WhatsApp.
Cette déclinaison de l’outil de messagerie instantanée avait été inaugurée en début d’année.
De manière synthétique, le simple envoi d’une vCard vérolée, en fait une carte de contact WhatsApp contenant du code malicieux, permettait ensuite au pirate de prendre le contrôle à distance de l’ordinateur de la personne ciblée.
Une brèche qui pouvait toucher des centaines de millions d’utilisateurs de l’outil de messagerie instantanée, désormais ancré dans la galaxie des services de communication du groupe Facebook.
WhatsApp recense désormais 900 millions d’utilisateurs par mois. Mais une moindre proportion d’utilisateurs a adopté la version Web (quand même 200 millions régulièrement évoqués).
L’équipe de WhatsApp a reconnu le risque en termes de sécurité IT. Et il a diffusé un update logicielle pour colmater la brèche identifiée sur la version Web.
Check Point a transmis les informations sur cette faille le 21 août et WhatsApp s’est chargée de publier un correctif six jours plus tard.
« Un pirate avait juste à envoyer une carte de contact vCard à la personne visée. A priori, c’est un geste banal mais la carte pouvait contenir du code malicieux », assure Oded Vanunu, Directeur de recherche Sécurité chez Check Point, à travers une contribution blog de l’éditeur de solutions de sécurité IT en date du 8 septembre.
« Une fois ouvert, la présumée carte se révèle être un fichier exécutable susceptible de compromettre les ordinateurs en diffusant des malware de type bots (code malveillant pour infecter un ordinateur), ransomware (rançongiciel) ou RAT (logiciel de prise de contrôle à distance). »
La vulnérabilité a été découverte par un autre chercheur de Check Point (Kasif Dekel) qui a découvert la possibilité de transformer le fichier d’extension d’une vCard en un script pouvant contenir du code malicieux.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…