Une faille critique dans la gestion des appels audio/vidéo permettait de pirater à distance n’importe quel utilisateur de la messagerie instantanée. L’éditeur a publié une mise à jour qu’il faut installer le plus rapidement possible.
Recevoir un coup de fil sur WhatsApp était, jusqu’à peu, une action à haut risque. En août dernier, la chercheuse en sécurité Natalie Silvanovich de Google Project Zero a en effet découvert un méchant bug dans l’implémentation du protocole RTP (Real Time Protocol), utilisé pour les communications audio/vidéo en temps réel. Dans une note explicative, elle montre, code à l’appui, qu’un paquet mal formé pouvait altérer la mémoire (heap corruption) et faire planter l’application.
Mais ce n’est pas tout. Son collègue Tavis Ormandy estime que cette faille – qui vient d’être corrigée par l’éditeur – permettait de pirater à distance n’importe quel utilisateur de la messagerie. « C’est un gros truc. Il suffit de répondre à l’appel d’un attaquant pour totalement compromettre WhatsApp », explique-t-il sur Twitter.
Comme les détails techniques de la faille sont désormais publics, il est vivement recommandé de mettre à jour l’application. Les pirates ne vont pas attendre longtemps avant d’utiliser ce nouveau vecteur d’attaque. Sur iOS, le patch a été diffusé le 3 octobre. Sur Android, la faille a été corrigée le 28 septembre dernier. Attention à bien télécharger la version 2.18.302 ou supérieure. La version 2.18.293 du 24 septembre – que le Google Play Store propose encore à certains utilisateurs – est vulnérable. Elle est donc à éviter.