WhatsApp apporte un important correctif de sécurité à son application de messagerie sécurisée

Pensez à mettre à jour votre application WhatsApp pour continuer à discuter avec vos proches en toute sécurité et confidentialité.

WhatsApp a apporté un important correctif à sa messagerie sécurisée afin de remédier à une faille de sécurité qui pourrait permettre à un hacker d’installer un malware à l’aide d’un appel vidéo. Repérée sous le nom de CVE-2022-36934, la faille consiste en un dépassement d’entier au sein de l’application WhatsApp sur Android et iOS qui pourrait entraîner l’exécution de code à distance lors d’un appel vidéo, a indiqué WhatsApp dans un communiqué.

La faille de sécurité de WhatsApp est grave. Avec un taux de gravité estimé à 9,8, elle est considérée comme « critique. »

Parallèlement, WhatsApp a également apporté un autre correctif de sécurité lié à un bug baptisé CVE-2022-27492 : une faille consistant en un débordement d’entier au sein de l’application sur Android avant la version 2.22.16.2 et sur iOS avant la version v2.22.15.9. Cette faille pourrait entraîner l’exécution de code à distance après la réception d’un fichier vidéo modifié.

#WhatsApp fixes two critical #security #vulnerabilities that would have allowed attackers to remotely hack their victims' devices by video calling them (CVE-2022-36934) or by sending a video file (CVE-2022-27492).

Make sure you update your WhatsApp!https://t.co/rjRMqMtdCG pic.twitter.com/YENS03AqJY

— Sam Stepanyan (@securestep9) September 27, 2022

WhatsApp a indiqué que les failles de sécurité, désormais corrigées, avaient été découvertes en interne et qu’il n’y avait « aucune preuve d’exploitation » desdites failles. En d’autres termes, WhatsApp a réglé le problème avant que des hackers ne puissent agir.

Analyse des vulnérabilités de WhatsApp

L’application de messagerie sécurisée n’a pas publié plus de détails sur les failles corrigées, mais les experts en sécurités ont analysé les données. La société de sécurité Malwarebytes décrit la faille CVE-2022-36934 dans un blog : « Ce bug RCE affecte une partie de code dans le composant WhatsApp Video Call Handler, ce qui permet à un hacker de manipuler le bug pour déclencher un dépassement de tampon et prendre le contrôle complet de WhatsApp Messenger. »

Parallèlement, la faille CVE-2022-27492 affecte un bloc de code non spécifié du composant Video File Handler. « La manipulation avec une entrée inconnue entraîne une vulnérabilité de corruption de mémoire », explique Malwarebytes, ajoutant que pour exploiter cette vulnérabilité, les hackers « devraient déposer un fichier vidéo modifié sur la messagerie WhatsApp de l’utilisateur et convaincre ce dernier de le lire. »

Assurez-vous que vous utilisez la dernière version de WhatsApp

« Les vulnérabilités ont été découvertes par l’équipe de sécurité interne de WhatsApp et corrigées dans la plus grande discrétion, il y a donc de fortes chances que votre application ait déjà été mise à jour », explique Pieter Arntz (Malwarebytes). Cependant, il est toujours bon de vérifier.

Si vous possédez un iPhone, allez dans l’App Store > Mise à jour et appuyez sur l’onglet « Mettre à jour » à côté de l’application. Vérifiez également que vous disposez de la version iOS 15.7 ou iOS 16, car ces mises à jour corrigent de graves problèmes de sécurité de l’iPhone.

Pour les utilisateurs d’Android, allez dans le Play Store > Mes applications et jeux et appuyez sur l’onglet « Mettre à jour » à côté de l’application.

En général, faites attention aux messages WhatsApp provenant de personnes que vous ne connaissez pas. Il y a beaucoup d’escrocs sur l’application, et elle a déjà été la cible de logiciels espions.

Article traduit de Forbes US – Auteure : Kate O’Flaherty

<<< À lire également : Uber, ou la démocratisation du hacking >>>