Pirater WhatsApp et Telegram grâce à une simple image. C'est ce qui était possible jusqu'en début de semaine, révèle mercredi la société américaine Check Point. Les hackers pouvaient en effet, en envoyant une image infectée par un virus, accéder à l'ensemble des conversations de l'utilisateur, mais aussi à tous ses contacts des utilisateurs. Alertés le 8 mars, les deux services de messagerie ont corrigé la faille.
Plusieurs centaines de millions de comptes potentiellement concernés. "Cette nouvelle vulnérabilité fait peser le risque d'une prise de contrôle totale sur des centaines de millions de comptes WhatsApp Web et Telegram Web", explique Oded Vanunu, responsable de la recherche des vulnérabilités chez Check Point dans un communiqué. "L'envoi d'une simple photo apparemment innocente permet à un cybercriminel de prendre le contrôle du compte, d'accéder à l'historique des messages et à toutes les photos partagées, et d'envoyer des messages au nom de l'utilisateur", poursuit-il sans donner le nombre de comptes touchés par ce piratage. Le pirate pouvait en effet camoufler un virus dans l'image, qui s'activait quand le destinataire cliquait dessus.
Contourner le chiffrage. Cette faille permettait par ailleurs de contourner le système de chiffrement employé par WhatsApp et Telegram et qui garantit en théorie que seul l'expéditeur et le destinataire des messages peuvent voir leur contenu. Avec ce type de chiffrement, les deux applications n'ont pas les moyens de détecter si ce contenu comprend des virus. Pour y remédier, les deux services valident désormais le contenu expédié juste avant qu'il ne soit chiffré, ce qui permet de bloquer les virus, indique encore Check Point.
Des précédents. Ce n'est pas la première fois que les limites de la protection apportée par les systèmes de chiffrement sont mises en lumière. Wikileaks avait rendu publics au début du mois près de 9.000 documents détaillant des outils de piratage informatique utilisés par la CIA. Certains permettaient de prendre directement le contrôle du smartphone d'un utilisateur et ainsi de contourner les systèmes de protection d'applications comme WhatsApp et Telegram, ou aussi Signal, Weibo et Confide, en capturant les communications avant qu'elles ne soient cryptées.