Antony Peel, 12/08/2024. Traduit par Michel Courtois
Sécurité de WhatsApp
Notre principale préoccupation, et celle de nos utilisateurs, est la sécurité et la confidentialité lors des communications utilisant WhatsApp
73
Problèmes de sécurité
Historique
2024
27/07/2024
WhatsApp pour Windows permet l'exécution de scripts Python et PHP sans préavis
Au début du mois de juin 2024, le chercheur en sécurité Saumyajeet Das a découvert une vulnérabilité dans la version de bureau de WhatsApp Messenger. En expérimentant l'envoi et la réception de différents types de pièces jointes, il a découvert que lorsqu'un utilisateur reçoit un fichier .PHP .PYZ .PYZW ou .EVTX via le client WhatsApp pour PC, il peut être exécuté en cliquant simplement sur le bouton Ouvrir sans aucun avertissement. D'autres extensions telles que .EXE, .COM, .SCR, .BAT, .DLL, .HTA ou .VB sont bloquées.
Puisque ces extensions ne figurent pas dans la liste de blocage de l'application Meta, elles facilitent la distribution de scripts Python et PHP qui sont exécutés en les ouvrant simplement et peuvent entraîner l'exécution à distance de codes malveillants, pour autant que Python soit installé sur l'ordinateur cible. Fin juillet 2024, Meta n'avait pas encore corrigé cette faille de sécurité.
Source :
2022
16/11/2022
Un vol impressionnant de données WhatsApp conduit à la mise en vente de près de 500 millions de numéros de téléphone
Le 16 novembre 2022, une annonce est apparue sur un célèbre forum de piratage, annonçant la vente de 487 millions de numéros de téléphone appartenant à des utilisateurs de WhatsApp. Ces utilisateurs seraient originaires de 84 pays différents, dont la majorité d'Égypte (45 millions), d'Italie (35 millions), des États-Unis (32 millions), d'Arabie saoudite (29 millions), de France (20 millions) et de Turquie (20 millions). En Espagne, le nombre d'utilisateurs concernés est estimé à environ 10 millions.
Des sources fiables ont vérifié les données par rapport à un échantillon fourni par les vendeurs et ont pu confirmer qu'il s'agissait de numéros de téléphone de véritables utilisateurs de WhatsApp. On soupçonne que les données ont pu être obtenues par scraping, une procédure qui va à l'encontre des conditions d'utilisation de WhatsApp, bien que la personne responsable du hack n'ait pas souhaité confirmer la méthode utilisée.
Source :
22/09/2022
Un dépassement de la mémoire tampon dans WhatsApp pourrait permettre l'exécution de code à distance lors d'un appel vidéo ouvert
La vulnérabilité CVE-2022-36934 a été détectée le 22 septembre 2022, classée comme bug critique et corrigée le 23 septembre. Elle affectait les versions Android de WhatsApp antérieures à 2.22.16.2 et les versions iPhone antérieures à 2.22.16.12. Elle affectait également les applications mobiles WhatsApp Business antérieures aux versions 2.22.16.12 sur les deux systèmes d'exploitation. Grâce à cette faille de sécurité, un attaquant malveillant pourrait manipuler une entrée de la fonction « Video Call Handler », provoquant ainsi un dépassement de la mémoire tampon autorisant l'exécution de code à distance pendant l'appel vidéo concerné.
22/09/2022
Un dépassement de la mémoire tampon dans WhatsApp peut conduire à l'exécution de code à distance lors de la réception d'un fichier vidéo manipulé
La vulnérabilité CVE-2022-27492 a été détectée le 22 septembre 2022, classée comme hautement dangereuse, et corrigée à peine un jour après, affectant les versions d'Android antérieures à 2.22.16.2 et les versions d'iPhone antérieures à 2.22.15.9. Grâce à l'utilisation de cette faille de sécurité, un attaquant malveillant pouvait manipuler une entrée de la fonction « Video File Handler » d'une vidéo, qui était ensuite envoyée via WhatsApp, lui permettant d'obtenir l'exécution de code à distance sur l'appareil mobile du destinataire.
02/02/2022
Un attaquant peut provoquer une lecture hors limites en envoyant un paquet RTCP incorrectement formaté pendant un appel
RTCP est l'abréviation de Real Time Control Protocol (protocole de contrôle en temps réel), un protocole de communication couramment utilisé pour passer des appels vocaux et vidéo entre utilisateurs d'applications de communication telles que WhatsApp. Début février 2022, un bogue a été détecté dans un contrôle de liaison dans le code d'analyse du flag RTCP, qui est chargé de signaler la qualité du flux RTP, celui qui transporte effectivement les données. En pratique, cela signifie qu'un utilisateur pouvait envoyer un paquet RTCP mal formaté pendant un appel en cours et provoquer une lecture du stockage dynamique en dehors des limites autorisées.
05/01/2022
Une faille dans la logique utilisée pour concevoir le système d'appel permettait à d'éventuels attaquants de forcer un dépassement de mémoire tampon
Call Handler est le nom d'un composant logiciel utilisé par WhatsApp pour passer des appels entre utilisateurs. En manipulant une entrée il aurait pu, en théorie, provoquer un dépassement de mémoire tampon et permettre une écriture en dehors des limites prévues.
2021
12/07/2021
Un bogue dans la programmation, concernant une vérification des limites, manque dans la fonction de flou d'image, ce qui pourrait permettre une saisie hors limites et un bogue de mise en mémoire tampon avec une image malveillante
WhatsApp, par le biais de ses avis de sécurité, a rendu publique en décembre 2021 la vulnérabilité CVE-2021-24041 enregistrée pour la première fois en juillet de la même année. La faille de sécurité concernait la fonction du flou de l'image, largement utilisée dans l'application dans bien des scénarios. Des attaquants potentiels, exploitant un défaut de code dans la vérification des limites associée à cette fonctionnalité, pourraient provoquer une écriture hors limites et un dépassement de mémoire tampon en envoyant une image malveillante. La faille a affecté les versions Android de l'application antérieures à la version 2.21.22.7 publiée en octobre 2021, y compris la version Business.
11/06/2021
Un bogue dans la validation des noms de fichiers pourrait permettre à un cyber-agresseur d'écraser des fichiers de l'application
Un bogue dans le processus de validation des noms de fichiers de WhatsApp Messenger pourrait permettre à un cyber-agresseur de compromettre l'intégrité et la confidentialité des données de la victime. Connu sous le nom de Vulnérabilité de classe croisée, le problème survient lors de la décompression de fichiers. L'absence de validation des noms de fichiers au cours du processus pourrait permettre l'écrasement de fichiers par des attaques dites « de traversement de répertoires », donnant accès à des répertoires qui devraient être interdits. Il s'agit d'une attaque simple qui pourrait être exécutée à distance et qui est facile à exploiter car aucune authentification n'est requise, bien qu'une interaction avec la victime soit nécessaire.
14/04/2021
Une vulnérabilité dans les versions Android de WhatsApp Messenger permet des attaques de type « man-in-the-disk » via un fichier HTML et le navigateur Chrome
Une faille de sécurité permet de collecter des informations cryptographiques à partir du stockage externe d'un utilisateur. Pour cela, un fichier HTML est envoyé à la victime ; une fois celui-ci ouvert avec Chrome, en profitant de son support pour les fournisseurs de contenu, il exécute du code. À ce moment-là, il lui est possible d'accéder au matériel cryptographique TLS (dans les sessions TLS 1.2 et 1.3) stocké dans le cache, car WhatsApp enregistre les détails de la clé de session TLS dans une zone non protégée du stockage externe, ce qui permet de compromettre les communications et votre compte, d'exécuter du code à distance et d'extraire les clés de protocole Noise couramment utilisées dans le chiffrement de bout en bout des communications.
Source :
14/04/2021
Un bogue dans le décodage de l'audio provenant d'appels entrants pourrait entraîner une écriture au-delà des limites permises et provoquer un dépassement de mémoire
Un agresseur distant pourrait lancer un appel vocal via WhatsApp, spécifiquement conçu pour provoquer un dépassement de mémoire pendant le traitement, en exploitant une faille dans le système de vérification des limites. Ce qui provoquerait une écriture hors limites et ferait planter l'application. Aucun détail technique spécifique sur la vulnérabilité n'a été fourni.
10/04/2021
Une erreur dans la procédure de connexion initiale et un simple courriel de contact à l'adresse de l'assistance aux utilisateurs permettent de bloquer, même de manière permanente, les comptes d'autres utilisateurs
Un utilisateur peut installer un client WhatsApp et lancer le processus de connexion en utilisant le numéro de téléphone d'un tiers. Après plusieurs tentatives infructueuses de saisie de codes erronés ou de demande répétée de nouveaux codes (car le code de vérification réel à 6 chiffres parvient toujours à la victime qui peut ne pas s’en rendre compt), WhatsApp bloque l'envoi de nouveaux codes pendant 12 heures. C'est à ce moment-là que la deuxième vulnérabilité entre en jeu, car l'attaquant pourrait contacter le service des comptes perdus ou volés de WhatsApp et simplement montrer le numéro de téléphone de la victime, se faire passer pour elle afin de la bloquer en profitant du fait qu'il s'agit d'une plate-forme de communication automatisée. S'il répète également l'opération pendant plusieurs cycles de 12 heures et que la victime ne parvient pas à reprendre le contrôle du compte entretemps, il pourrait bloquer définitivement le compte et obliger la victime à contacter directement WhatsApp pour le récupérer.
02/02/2021
Un problème dans la fonction de filtrage des images peut provoquer une saisie hors limites et donner accès à la mémoire de WhatsApp sur le téléphone de la victime
La société de sécurité Check Point Research a notifié à WhatsApp, le 10 novembre 2020, une faille de sécurité dans la fonction de filtrage des images qui pourrait permettre à un cyber-attaquant d'accéder aux informations stockées dans la mémoire de WhatsApp en écrivant hors limites. L'attaque, qui nécessite en tout état de cause une interaction avec l'utilisateur, est assurément complexe à exécuter et n'est pas connue pour avoir été mise en œuvre, elle utilise une image GIF pré-conçue qui est envoyée à la victime. Lorsque la victime édite l'image en appliquant certains filtres tels que le flou, les pixels de l'image originale sont modifiés, un processus complexe où les données sont lues, manipulées et écrasées. L'erreur se produit lorsque le résultat est transmis à l'expéditeur.
Ce bogue, dont les détails techniques ont été révélés le 2 septembre 2021, a en théorie été corrigé, à partir de la version 2.21.1.13 de l'application publiée en février 2021, par l'introduction de deux nouveaux processus de vérification sur la source de l'image et le filtre de l'image liés au bogue.
Source :
2020
05/11/2020
La défaillance d'une bibliothèque pourrait corrompre la mémoire, permettre l'exécution de codes et provoquer d'autres défaillances dans l'application
Une concaténation de différents événements pourrait entraîner une corruption de la mémoire dans l'application, des plantages et l'exécution de codes malveillants. Le bogue était lié à un problème dans une bibliothèque de registres utilisée dans les versions antérieures à la version 2.20.111 de WhatsApp Messenger et de WhatsApp Business pour iOS. Pour provoquer cette défaillance, différents scénarios devaient se dérouler dans un certain ordre, parmi lesquels la réception d'un autocollant animé conjointement à la mise en attente d’un appel vidéo.
05/11/2020
Utilisation de Siri pour gérer WhatsApp iOS même avec l'écran verrouillé
Un problème d'autorisation incorrecte de la fonction de verrouillage d'écran dans les versions iOS de WhatsApp Messenger et WhatsApp Messenger Business antérieures à la version 2.20.100 permettait d'utiliser Siri pour gérer l'application même après le verrouillage du téléphone.
06/10/2020
Exécution de code arbitraire pour provoquer un débordement de pile
En analysant le contenu des en-têtes des extensions RTP, il était possible d'exécuter du code arbitraire et de provoquer un débordement dans la pile de WhatsApp.
06/10/2020
Débordement de la mémoire tampon des vidéos locales encodées avec un certain format audio
En traitant une vidéo locale mal formée avec des flux audio E-AC-3, il était possible d'activer l'écriture hors des limites et de provoquer un débordement de la mémoire tampon.
06/10/2020
Applications malveillantes avec possibilité d'accès au contenu joint
Une erreur dans les URI (uniform resource identifier) de Media ContentProvider utilisés pour ouvrir les pièces jointes dans les applications tierces entraînait leur génération séquentielle, ce qui signifie qu'une application tierce malveillante pouvait ouvrir le fichier et deviner les URI des pièces jointes précédemment ouvertes.
06/10/2020
Écrasement des fichiers inter-répertoires
Une erreur dans la validation du chemin d'accès lors de l'envoi de fichiers DOCX, XLX et PPTX conçus comme des pièces jointes à des messages permettait l'écrasement des fichiers interrépertoires.
06/10/2020
Déni de service via des fichiers DOCX, PPTX et XLSX
Lors de la décompression d'un document DOCX, PPTX ou XLSX ordinaire de la suite Office, il était possible de provoquer un déni de service en raison d'une perte de mémoire, ce qui nécessitait que le numéro de téléphone envoyant le fichier ne figure pas dans la liste des contacts.
06/10/2020
Des recherches spécifiques peuvent ouvrir Google en utilisant un simple code HTTP
Un plantage lors de la recherche rapide d'un message largement transféré pouvait orienter l'utilisateur vers le service de recherche de Google à l'aide d'un simple HTTP.
06/10/2020
Blocage de l'application par l'envoi de longs messages
En envoyant un message volumineux contenant une URL, il était possible de bloquer le client iOS en provoquant le blocage de l'application lors du traitement du message.
03/09/2020
Exécution de codes malveillants via des messages vocaux de type « push to talk » (Appuyé - Parlé)
Un agresseur aurait pu utiliser la fonction « push to talk », consistant à envoyer des messages pour exécuter un code malveillant arbitraire.
03/09/2020
Activation de l'écriture hors des limites sur les appareils 32 bits
Par le biais des appels vidéo, un utilisateur pouvait activer l'écriture hors des limites sur des appareils 32 bits.
03/09/2020
Autocollants liés à des URL sans autorisation
Un problème de validation d'URL permettait d'envoyer des autocollants avec des liens URL qui s'ouvraient automatiquement sans l'autorisation de l'utilisateur.
03/09/2020
Omission des fonctions de sécurité dans WhatsApp Desktop
Un problème de contournement des fonctions de sécurité dans les versions de WhatsApp Desktop antérieures à la version 0.3.4932 aurait pu permettre à la zone de test de s'échapper dans Electron et la remontée des privilèges si elle était combinée à une vulnérabilité d'exécution de code à distance dans le processus de rendu de la zone de test.
03/09/2020
Débordement de la mémoire tampon
Cela permettait une écriture hors des limites par le biais de transmissions vidéo conçues pour agir lors de la réponse.
03/09/2020
Problème de validation des entrées
Par le biais des messages de localisation en direct, un agresseur aurait pu permettre la création de scripts intersites par le biais d'un lien.
21/01/2020
Vulnérabilité dans la prévisualisation des liens à l'aide de Desktop et iPhone
Une vulnérabilité qui combine WhatsApp Desktop et WhatsApp for iPhone permet, par un clic de la victime sur un aperçu d'un lien conçu à cet effet, de créer des scripts entre les sites et de lire des fichiers locaux.
Source :
2019
17/12/2019
Plantage de l'application liée aux membres des groupes
En utilisant WhatsApp Web, Google Chrome et un serveur distant en Python, les agresseurs peuvent modifier le nom d'un participant à un groupe et provoquer des plantages en entrant dans une boucle infinie. La seule solution consistait à réinstaller l'application, avec la perte des données de groupe en résultant.
Source :
14/11/2019
Piratage de l'application à l'aide de fichiers MP4
Par l'envoi à un contact puis par le téléchargement en découlant d'un fichier MP4 associé à ses métadonnées, la mémoire était corrompue et une attaque DoS ou RCE était générée. Les agresseurs pouvaient espionner les données et voler des fichiers à distance.
Source :
23/10/2019
Débordement de la mémoire tampon dans les bibliothèques Android
Une erreur de débordement de la mémoire tampon de la pile est localisée dans une bibliothèque Android, spécifiquement appelée libpl_droidsonroids_gif avant sa version 1.2.19, ce qui pourrait permettre à un agresseur distant d'exécuter un code arbitraire et de provoquer un déni de service. L'erreur pourrait affecter les versions de WhatsApp Messenger sous Android antérieures à la version 2.19.291.
Source :
03/10/2019
Exécution de codes à distance au travers de la création et de l'envoi de GIF
Une faille dans une bibliothèque Android liée aux GIF contenait une double vulnérabilité dans la fonction DDGifSlurp. Grâce à cette brèche, des agresseurs distants pouvaient exécuter du code et provoquer un déni de service en analysant des GIF spécifiquement conçus à cet effet.
Source :
27/09/2019
Attaques utilisant les balises EXIF sur les images WEBP
Un agresseur pouvait utiliser les balises EXIF des images de type WEBP pour écrire hors des limites et déborder les bibliothèques d'analyse des médias.
Source :
08/08/2019
Une faille dans le code permet le traitement des messages (II)
Bien que WhatsApp ait signalé une correction de cette vulnérabilité, initialement signalée en août 2018, les mêmes chercheurs constatent que le problème n'a pas été résolu et qu'il est toujours possible de manipuler les messages et de les faire passer pour authentiques.
Source :
16/07/2019
Erreur lors de la validation correcte de la saisie
Un problème dans le processus d'enregistrement permettait d'envoyer des fichiers malveillants aux utilisateurs, ceux-ci s’affichant avec une mauvaise extension.
Source :
15/07/2019
Media File Jackin
Une erreur a été détectée par laquelle les fichiers multimédias de WhatsApp et Telegram étaient visibles l'un pour l'autre via le stockage sur carte SD. Il devenait alors possible de modifier un fichier ou un document avant son envoi.
Source :
14/05/2019
Brèche de sécurité avec des attaques possibles par le biais d'appels téléphoniques. Vulnérabilité de la pile tampon de WhatsApp VoIP. Exécution de codes à distance par le biais de paquets RTCP envoyés à un numéro par le biais d'appels téléphoniques
Une faille de sécurité a permis de l'espionnage par le biais d'appels téléphoniques. On suppose que NSO, la société de cybersécurité, a profité de cette défaillance pour proposer un outil d'espionnage sur une base commerciale. Lorsqu'un appel était reçu et sans qu'il soit nécessaire d'y répondre, un logiciel d'espionnage était installé. Les appels pouvaient ne laisser aucune trace. Des journalistes, des dissidents politiques, des diplomates et des membres de différents gouvernements ont été victimes du logiciel appelé Pegasus, dont WhatsApp confirmera plus tard qu'il aurait touché environ 1 400 personnes.
Source :
10/05/2019
Récupération des messages précédemment envoyés
Une erreur dans la logique de développement permettait à quelqu'un ayant accès au compte de récupérer les messages précédemment envoyés. Dans tous les cas, il était nécessaire de connaître les métadonnées de ces messages, qui en théorie ne sont pas accessibles au public.
Source :
28/01/2019
Erreur de pile due à un défaut de calcul des données transmises lors de la réception des appels
Erreur d'écriture en dehors de l'espace alloué à la pile lors de la réception des appels, la quantité de données transmises n'était pas prise en compte de manière adéquate dans l'allocation de la pile.
Source :
28/01/2019
Débordement de pile lors de la réception d'appels sous iOS
Dans WhatsApp pour iOS, une faille dans le processus de détermination de la taille lors de l'analyse des paquets chez l'expéditeur lors de la réception d'un appel pourrait entraîner un débordement de la pile.
Source :
2018
10/10/2018
Débordement de mémoire lors de la réception d'appels vidéo
Des problèmes de mise en œuvre du RTP, permettent de prendre le contrôle d'un client par le biais d'un appel vidéo conçu à cet effet. Cela concerne Android et iOS, et non WhatsApp Web car il utilise WebRTC pour cette fonctionnalité.
07/08/2018
Une faille dans le code permet le traitement des messages
Une faille de sécurité détectée par une société externe a permis à des personnes mal intentionnées d'intercepter et de manipuler des messages envoyés. Cette faille permettait de modifier la réponse d'un participant, de citer des messages de personnes qui n'avaient pas écrit ces textes ou d'envoyer des messages à des membres d'un groupes qui semblaient apparemment diffusés à l'ensemble du groupe, mais n'étaient en fait visibles que par cet utilisateur.
Source :
31/05/2018
Faille dans le plugin du bouton de partage de contenu
Les plugins Add Social Share Messenger Buttons WhatsApp et Viber 1.0.8 de MULTIDOTS pour WordPress présentent une faille par laquelle un agresseur, par hameçonnage ou ingénierie sociale, peut demander à un administrateur d’un site WordPress de modifier les paramètres du plugin en utilisant la fonction Cross-Site Request Forgery (CSRF) dans wp-admin/admin-post.php.
Source :
23/05/2018
Réception bloquée des messages des contacts
Les utilisateurs des réseaux sociaux avertissent qu'un utilisateur bloqué peut continuer à envoyer des messages. L'erreur semblait être liée à une mise à jour des clients mobiles WhatsApp pour Android et iPhone, et sera résolue peu après par une nouvelle mise à jour.
28/01/2018
Erreur dans les en-têtes RTP
Une analyse incorrecte des en-têtes de l'extension RTP a rendu possible la lecture hors des limites.
Source :
28/01/2018
Débordement de pile lors de la réception d'appels sous Android
Dans WhatsApp pour Android, une faille dans le processus de détermination de la taille lors de l'analyse des paquets chez l'expéditeur lors de la réception d'un appel pourrait entraîner un débordement de la pile.
Source :
2017
09/10/2017
Suivi des activités des contacts dans WhatsApp Web
Le chercheur Rob Heaten découvre une faille dans WhatsApp Web qui permet de surveiller l'activité des contacts. En utilisant une extension de Chrome, en enregistrant les temps de connexion, même s'ils sont masqués, et en comparant les informations avec celles d'autres contacts, il serait possible d'établir des schémas, des routines et même des conversations entre eux.
Source :
01/07/2017
Auto-invitations à des groupes
Des chercheurs allemands mettent en garde contre une faille permettant à une personne ayant accès aux serveurs de WhatsApp de s'inviter dans des discussions de groupe. Facebook en minimise l'importance, étant donné que, comme cela a été dit, il est préalablement nécessaire d'avoir accès aux serveurs, ce qui limite considérablement le nombre de possibilités, et les participants aux groupes peuvent également voir qu'une nouvelle personne non invitée les a rejoint. De plus, ces personnes n'ont également pas accès aux messages précédemment envoyés.
09/04/2017
Informations non retirées de la carte SD et accessibles à d'autres applications
WhatsApp pour Android ne supprime pas les fichiers envoyés et reçus depuis la carte SD de l'appareil lorsqu'un tchat est supprimé ou que l'application est désinstallée. Les données de la carte SD sont stockées sans cryptage et sont accessibles à d'autres applications disposant d'une autorisation d'accès au stockage. Selon Facebook, il ne s'agissait pas d'une erreur, mais de la prestation attendue pour permettre aux utilisateurs d'exporter des données.
15/03/2017
Vol d’un compte par le biais de photos ou de vidéos
Une vulnérabilité permettait d'envoyer des vidéos ou des messages normaux dans l'aperçu mais contenant du code HTML, capable de charger des logiciels malveillants par le biais du navigateur. Il était ainsi possible de prendre le contrôle total du compte de l'utilisateur, de lire ses messages, de les envoyer ou de visualiser le contenu multimédia. La vulnérabilité a été signalée le 8 mars de cette même année, une semaine plus tôt. Quand elle a été rendue publique, elle avait déjà été réglée.
Source :
13/01/2017
Faille de sécurité qui permettrait la lecture des messages
Le chercheur allemand Tobias Boelter découvre une erreur dans le cryptage de bout en bout de l'application. En générant les clés de sécurité à l'aide du protocole de signal Open Whysper Systems, on découvre que WhatsApp a la capacité de forcer la création de nouvelles clés pour les utilisateurs hors ligne. De nombreux experts en sécurité estiment que cette erreur n'en est pas une et, en fait, le journal The Guardian, qui a initialement publié l'erreur, s'est rétracté sur une grande partie de ses propos.
2016
02/08/2016
Les conversations ne sont pas supprimées
Après le déploiement du cryptage des messages, un chercheur a découvert une faille dans les bibliothèques SQL qui permettait de suivre les conversations supprimées avec vos contacts. Selon son analyse, il ne serait possible de supprimer complètement une conversation qu'en supprimant et en réinstallant l'application.
Source :
06/05/2016
Défaillance du cryptage des messages
Une société russe de sécurité informatique découvre comment il est possible d'espionner les conversations en utilisant les failles de sécurité du protocole SS7. En se connectant au nœud du réseau qui dessert le terminal et en utilisant l'erreur, il serait possible de voler le SMS d'authentification et de se faire passer pour les participants. Cela pouvait se produire chaque fois que les paramètres de sécurité par défaut étaient utilisés à ce moment, lorsque l'option « Afficher les notifications de sécurité » dans les paramètres n'était pas activée, ce qui aurait pu avertir l'utilisateur d'un problème. Dans tous les cas, il s'agit davantage d'une erreur de protocole que d'une erreur WhatsApp.
2015
08/09/2015
Installation de logiciels malveillants sur les PC à l'aide de WhatsApp Web et d'une vCard
En utilisant le client Web sur un PC, un agresseur pourrait envoyer une vCard contenant le code d'un logiciel malveillant et l'installer directement sur l'ordinateur.
Source :
30/07/2015
Accès aux chats de tiers sur les appareils sous iOS
Un étudiant en ingénierie informatique informe qu'en utilisant un iPhone et un ordinateur sous Linux, il peut extraire des fichiers et des contacts envoyés et reçus.
Source :
30/05/2015
Vol d’un compte par le biais d'un autre dispositif
Une faille dans le processus d'identification de l'utilisateur permet à un agresseur d'accéder à votre compte. En installant WhatsApp sur un second appareil, en connaissant le numéro de téléphone de la victime et en ayant accès à son téléphone, il était possible de voler le compte. Pour cela, une nouvelle installation est lancée avec le numéro de la victime, le code de vérification est demandé par un appel sur son téléphone portable auquel on peut répondre sans déverrouiller le téléphone et on utilise ce code sur le deuxième client. Jusqu'à ce que la victime puisse à nouveau utiliser son compte, un nombre indéterminé de minutes est passé qui peut être utilisé pour espionner toutes les conversations.
Source :
26/05/2015
Un bogue lié aux caractères réinitialise le téléphone
Un agresseur distant pourrait utiliser CoreText pour déclencher une attaque par déni de service en utilisant un texte Unicode. En envoyant divers caractères qui ne sont pas correctement assimilés par la même notification, le message entraîne le redémarrage du téléphone.
Source :
13/05/2015
Piratage de comptes par le biais de la messagerie vocale
Le processus de vérification de WhatsApp permet à une personne qui connaît votre numéro de téléphone de voler votre compte si votre boîte de réception est active. Il suffit d'installer WhatsApp et de commencer à enregistrer le numéro à un moment où la victime ne regarde peut-être pas son téléphone. Quand on ne répond pas à l'appel de vérification, WhatsApp laisse le message dans la boîte vocale si celle-ci est active, une boîte qui peut être appelée pour connaître le code de vérification et prendre le contrôle du compte.
Source :
29/01/2015
Une erreur permet de voir les photos des utilisateurs de contacts qui ne figurent pas dans le répertoire/ Les images supprimées sont toujours visibles sur le site Web de WhatsApp
Indrajeet Buyhan découvre deux failles dans la sécurité et la protection de la vie privée. D'une part, il montre comment les photos de profil des utilisateurs sont visibles même lorsque que le contact ne figure pas dans le carnet d'adresses. Tout le monde peut voir votre photo, même si vous spécifiez dans les paramètres qu'il ne doit pas en être ainsi. La seconde erreur concerne la synchronisation de WhatsApp Web et des clients mobiles : lorsque vous supprimez une photo dans une conversation, elle devient floue sur le mobile et inaccessible, mais reste disponible dans la version Web du client.
Source :
2014
01/12/2014
Envoi de messages susceptibles de corrompre la conversation et de forcer leur suppression
Deux adolescents découvrent un bug par lequel l'envoi d'un message texte avec un jeu spécial de très petits caractères (seulement 2 ko) a provoqué une erreur dans l'application, rendant impossible l'accès à cette conversation. Il ne s'agissait pas d'une faille de sécurité extrêmement grave, mais elle permettait de corrompre toute conversation en la forçant à être supprimée et à entamer une nouvelle conversation. Cela fut corrigé dans la mise à jour 2.11.468.
Source :
17/04/2014
Envoi de localisation sans cryptage
Un groupe de chercheurs de l'université de New Haven détectent une faille de sécurité par laquelle les messages indiquant l'emplacement d'un contact sont envoyés en clair, ce qui leur permet d'intercepter le contenu de ces messages et de connaître la position réelle d'un contact en utilisant une attaque de type « man-in-the-middle » avec des programmes tels que WireShark.
11/03/2014
Vol de la base de données WhatsApp
Un ingénieur informatique néerlandais prévient que la base de données WhatsApp est stockée sur la carte SD des terminaux, et que toute application ayant accès à cette carte SD pourrait obtenir le fichier. Lors d'un processus transparent, les malfaiteurs sont en mesure de copier la base de données et de la télécharger sur un serveur. Cette base de données a été cryptée à l'aide de SQLite3, mais il a été possible de la décrypter en utilisant un scrypt de Phyton et WhatsApp Xtract. Selon WhatsApp, dans une note publiée quelques jours plus tard, ces rapports ne donnaient pas une image fidèle de la situation et étaient exagérés : une utilisation responsable du logiciel et de l'appareil, comme dans toute autre circonstance, aurait suffi à éviter d'être victime d'une attaque.
Source :
08/03/2014
Une faille de sécurité permettrait la falsification de messages
Deux chercheurs présentent une preuve de concept à la RootedCon 2014 qui démontre qu'il est possible de contrefaire des messages WhatsApp sans laisser de trace.
2013
22/11/2013
Il est possible de connaître la localisation d'un contact grâce à son adresse IP
L'introduction d'une nouvelle fonctionnalité de téléchargement d'images associée au partage de liens URL permettrait à une personne malveillante de connaître l'adresse IP d'une personne et donc sa localisation. Autres données utiles pour la mise en œuvre des attaques par déni de service.
03/11/2013
Il est possible de décrypter les messages envoyés depuis WhatsApp
Pablo San Emeterio et Jaime Sanchez publient une enquête dans laquelle ils expliquent en détail comment fonctionne le système de cryptage de messages de WhatsApp et comment, grâce à ces informations, il est possible d'intercepter les messages envoyés et de les manipuler à l’attention de leur destinataire final. En guise de solution, ils inventent l'application WhatsApp Privacy Guard. Le problème réside dans l'utilisation de la même clé pour crypter deux messages, une défaillance du protocole de cryptage RC4.
Source :
08/10/2013
Problèmes relatifs au cryptage de WhatsApp
Le chercheur Thijs Alkemade détecte deux vulnérabilités dans le cryptage des messages de WhatsApp. D'une part, il découvre qu'une personne ayant accès aux messages pourrait être en mesure de déchiffrer leur contenu malgré le cryptage utilisé. D'autre part, l'utilisation de la même clé RC4 permet des attaques de type « man-in-the-middle » capables d'intercepter des paquets.
Source :
17/01/2013
Une faille de sécurité permet la création de WhatsApp Voyeur
Alejandro Amo publie le service Web WhatsApp Voyeur comme preuve que n'importe qui peut obtenir des informations à partir des données des profils WhatsApp sans les avoir dans son agenda, comme des photos, des statuts ou des dates. Le service a cessé de fonctionner en raison de menaces de poursuites judiciaires. la réalité est que cela est parfaitement possible en ajoutant simplement un contact à votre agenda.
2012
04/05/2012
WhatsApp Sniffer, messages en texte clair
L'application WhatsApp Sniffer est lancée, vous permettant d'espionner les tchats. En août 2012, il est annoncé que WhatsApp commence à crypter les messages, sans spécifier le protocole. Les numéros de téléphone restaient toujours visibles.
03/01/2012
Apparition de WhatsAppStatus, qui permet de modifier le statut de tout contact
Un service web appelé WhatsAppStatus est diffusé, qui tire parti des différentes vulnérabilités détectées le mois précédent pour vous permettre de modifier aléatoirement le statut de vos contacts. L'erreur sera corrigée le 6 janvier.
Source :
2011
19/12/2011
Mises à jour arbitraires du statut, erreurs de journalisation et erreurs liées au texte brut
On découvre de nombreuses vulnérabilités liées aux statuts des utilisateurs dans l'application, au processus d'enregistrement et au protocole des texte bruts, ce qui permet de les intercepter très facilement.
Source :
10/12/2011
Lancement de Whatsapp Xtract, il est désormais possible de voler la base de données WhatsApp d'un utilisateur
Un groupe de chercheurs lance WhatsApp Xtract, un logiciel capable d'extraire et de décrypter la base de données que WhatsApp stocke localement sur les appareils. Selon les rapports, cette base de données cryptée, qui stocke tous les messages entrants et sortants, peut être consultée sur des appareils mobiles rootés ou jailbreakés et peut être facilement décodée car elle utilise toujours la même clé statique et cryptée.
17/05/2011
Les informations de contact et les messages sont envoyés sous forme de textes en clair
Un chercheur découvre que WhatsApp envoie toutes les informations en clair sur le réseau, de sorte que tout utilisateur peut être victime d'un espionnage par le biais d'une attaque de type « man-in-the-middle » (l'homme au milieu), qui, grâce à un logiciel renifleur tel que WireShark, est capable de voir les données passant par le port 443. WhatsApp a implicitement reconnu qu'il n'y avait pas de couche de sécurité supplémentaire en répondant que les protocoles de sécurité appliqués étaient ceux des réseaux Wi-Fi et 3G.
Source :
01/05/2011
Une faille de sécurité a permis le détournement de comptes d'utilisateurs
Problèmes de sécurité dans le processus de vérification ou d'authentification du numéro de téléphone. Un développeur a découvert une faille permettant de détourner à distance le compte d'un utilisateur.
Source :
Autres langues