Faille WhatsApp et Telegram : Des centaines de millions de comptes peuvent être piratés en quelques secondes

Check Point a découvert une nouvelle vulnérabilité qui permet à des pirates de prendre le contrôle complet sur des compte WhatsApp et Telegram, y compris chats, images, fichiers audio et vidéo, et contacts
Check Point® Software Technologies Ltd. annonce la découverte d’une nouvelle vulnérabilité dans les plates-formes en ligne de WhatsApp et de Telegram, WhatsApp Web et Telegram Web, deux des services de messagerie les plus populaires au monde. En exploitant cette vulnérabilité, des cybercriminels pourraient prendre le contrôle total des comptes utilisateurs, accéder aux conversations personnelles et des conversations de groupe des victimes, leurs photos, leurs vidéos et autres fichiers partagés, leurs listes de contacts, et plus encore.

« Cette nouvelle vulnérabilité fait peser le risque d’une prise de contrôle totale sur des centaines de millions de comptes WhatsApp Web et Telegram Web, » explique Oded Vanunu, head of product vulnerability research chez Check Point. « L’envoi d’une simple photo apparemment innocente permet à un cybercriminel de prendre le contrôle du compte, d’accéder à l’historique des messages et à toutes les photos partagées, et d’envoyer des messages au nom de l’utilisateur. »

La vulnérabilité permet à un hacker d’envoyer du code malveillant caché dans une image apparemment innocente à des victimes. Dès qu’un utilisateur clique sur l’image, le hacker obtient l’accès complet à ses données WhatsApp ou Telegram, lui donnant ainsi l’accès complet au compte de la victime. Le cybercriminel peut alors envoyer le fichier malveillant à tous les contacts de la victime, et mener ainsi une attaque généralisée.

Check Point a communiqué cette information aux équipes de sécurité de WhatsApp et de Telegram le 8 mars 2017. WhatsApp et Telegram ont reconnu le problème de sécurité et ont publié des correctifs pour les clients web dans le monde entier.

« Heureusement, WhatsApp et Telegram ont réagi rapidement et ont déployé de manière responsable des mesures d’atténuation contre l’exploitation de cette vulnérabilité sur tous les clients web, » ajoute M. Vanunu. Les utilisateurs qui souhaitent s’assurer d’utiliser la toute dernière version de WhatsApp et de Telegram pour le web devraient redémarrer leur navigateur.

WhatsApp et Telegram chiffrent leurs messages de bout en bout comme mesure de protection des données, afin de veiller à ce que seules les personnes qui communiquent peuvent lire les messages, mais personne d’autre. Or, ce même chiffrement de bout en bout est également la source de cette vulnérabilité. Comme les messages sont chiffrés côté expéditeur, WhatsApp et Telegram ne peuvent déchiffrer les contenus et donc empêcher l’envoi de contenu malveillant. Depuis la correction de cette vulnérabilité, les contenus sont désormais validés avant leur chiffrement, et les fichiers malveillants peuvent être bloqués.

Les versions web reflètent tous les messages envoyés et reçus par les utilisateurs sur l’application mobile, et sont entièrement synchronisées sur les appareils des utilisateurs.

WhatsApp possède plus de 1 milliard d’utilisateurs dans le monde, ce qui en fait le service de messagerie le plus répandu à ce jour. La version web de WhatsApp est disponible sur tous les navigateurs et les plates-formes prenant WhatsApp en charge, dont les smartphones Android, iOS (iPhone), Windows Phone 8.x, BlackBerry, BB10 et Nokia.

Telegram est une application de messagerie sur poste fixe et mobile  possédant plus de 100 millions d’utilisateurs actifs tous les mois, et acheminant 15 milliards de messages quotidiennement.

Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?