Les failles permettant de pirater un compte WhatsApp se vendent à prix d’or sur le marché des vulnérabilités. Ces dernières années, les primes offertes aux chercheurs qui découvrent une brèche donnant accès aux messages d’une cible ont même fortement augmenté…
Les failles de sécurité « zéro day » de WhatsApp ont la cote, indiquent nos confrères de TechCrunch. D’après le média, une vulnérabilité non divulguée et non corrigée de la messagerie se monnaie parfois plusieurs millions de dollars sur le marché.
Jusqu’à 20 millions de dollars
Depuis 2021, une faille permettant de compromettre le compte WhatsApp d’un utilisateur de smartphone Android vaut entre 1,7 et 8 millions de dollars. Certaines sociétés, dont des organisations privées ou des entités gouvernementales, sont en effet prêtes à payer une fortune pour pouvoir consulter les messages échangés sur WhatsApp par des individus.
Il y a deux ans, une société, dont le nom n’a pas été divulgué, a commercialisé une brèche WhatsApp pour la somme de 1,7 million de dollars. Cette vulnérabilité permettait à l’attaquant d’exécuter du code à distance sur le smartphone de la cible. In fine, le pirate pouvait espionner les messages et les transférer sur un serveur à distance. Cerise sur le gâteau, il s’agissait d’une faille « zéro clic ». Contrairement à certaines failles qui nécessitent que l’utilisateur clique sur un lien ou ouvre un fichier compromis, une faille « zéro clic » peut être exploitée de manière automatique sans la moindre interaction de la cible.
Il y a une semaine, une société russe baptisée Operation Zero a revu à la hausse les prix offerts pour une faille de sécurité. Désormais, elle offre de 200 000 à 20 millions de dollars pour une vulnérabilité WhatsApp sur Android ou iOS. Une fois achetée, la brèche est revendue à « des organisations privées et gouvernementales russes », assure Operation Zero.
Pour le PDG d’Operation Zero, Sergey Zelenyuk,les failles « pour les téléphones mobiles sont les produits les plus chers en ce moment et ils sont principalement utilisés par les acteurs gouvernementaux ». Les prix ont d’ailleurs fortement grimpé ces dernières années. Cette hausse s’explique par l’amélioration progressive des mises à jour et des mécanismes de sécurité sur smartphone et l’invasion russe en Ukraine. Dans un contexte de guerre, il n’y a pas beaucoup de chercheurs prêts à travailler avec la Russie, ce qui pousse les entités dépendantes du Kremlin à augmenter les primes offertes.
Sans surprise, WhatsApp est une cible privilégiée pour les experts du cyberespionnage, notamment ceux qui travaillent pour des gouvernements. En espionnant les conversations WhatsApp d’une cible, il est possible de recueillir une foule d’informations précieuses.
« Les acheteurs de failles sont intéressés par les failles pour ce qu’elles permettent de faire — espionner leurs cibles », explique un chercheur de sécurité, resté anonyme, à TechCrunch.
Dans certains cas, les attaquants n’ont même plus besoin de compromettre l’intégralité du smartphone. Dans d’autres cas, ils se servent de l’accès à WhatsApp comme point de départ vers la prise de contrôle totale du téléphone. Comme l’explique CyberNews, les failles dites « zéro day » représentent « une race unique de cybermenaces, qui ne laisse aucune place à l’erreur et accorde aux attaquants un avantage sans précédent ». C’est pourquoi elles sont très recherchées et se vendent à prix d’or.
source : 01net