Sécurité de WhatsApp

Notre principale préoccupation, et celle de nos utilisateurs, est la sécurité et la confidentialité lors des communications utilisant WhatsApp
61 Problèmes de sécurité
Historique
Héctor Hernández, 28/10/2020 (Mise à jour 05/11/2020). Traduit par Michel Courtois

2020

IOS
05/11/2020
Utilisation de Siri pour gérer WhatsApp iOS même avec l'écran verrouillé
Un problème d'autorisation incorrecte de la fonction de verrouillage d'écran dans les versions iOS de WhatsApp Messenger et WhatsApp Messenger Business antérieures à la version 2.20.100 permettait d'utiliser Siri pour gérer l'application même après le verrouillage du téléphone.
IOS
05/11/2020
La défaillance d'une bibliothèque pourrait corrompre la mémoire, permettre l'exécution de codes et provoquer d'autres défaillances dans l'application
Une concaténation de différents événements pourrait entraîner une corruption de la mémoire dans l'application, des plantages et l'exécution de codes malveillants. Le bogue était lié à un problème dans une bibliothèque de registres utilisée dans les versions antérieures à la version 2.20.111 de WhatsApp Messenger et de WhatsApp Business pour iOS. Pour provoquer cette défaillance, différents scénarios devaient se dérouler dans un certain ordre, parmi lesquels la réception d'un autocollant animé conjointement à la mise en attente d’un appel vidéo.
IOS
06/10/2020
Blocage de l'application par l'envoi de longs messages
En envoyant un message volumineux contenant une URL, il était possible de bloquer le client iOS en provoquant le blocage de l'application lors du traitement du message.
Android
06/10/2020
Des recherches spécifiques peuvent ouvrir Google en utilisant un simple code HTTP
Un plantage lors de la recherche rapide d'un message largement transféré pouvait orienter l'utilisateur vers le service de recherche de Google à l'aide d'un simple HTTP.
IOS
06/10/2020
Déni de service via des fichiers DOCX, PPTX et XLSX
Lors de la décompression d'un document DOCX, PPTX ou XLSX ordinaire de la suite Office, il était possible de provoquer un déni de service en raison d'une perte de mémoire, ce qui nécessitait que le numéro de téléphone envoyant le fichier ne figure pas dans la liste des contacts.
IOS
06/10/2020
Écrasement des fichiers inter-répertoires
Une erreur dans la validation du chemin d'accès lors de l'envoi de fichiers DOCX, XLX et PPTX conçus comme des pièces jointes à des messages permettait l'écrasement des fichiers interrépertoires.
Android
06/10/2020
Applications malveillantes avec possibilité d'accès au contenu joint
Une erreur dans les URI (uniform resource identifier) de Media ContentProvider utilisés pour ouvrir les pièces jointes dans les applications tierces entraînait leur génération séquentielle, ce qui signifie qu'une application tierce malveillante pouvait ouvrir le fichier et deviner les URI des pièces jointes précédemment ouvertes.
Android
06/10/2020
Débordement de la mémoire tampon des vidéos locales encodées avec un certain format audio
En traitant une vidéo locale mal formée avec des flux audio E-AC-3, il était possible d'activer l'écriture hors des limites et de provoquer un débordement de la mémoire tampon.
Android IOS
06/10/2020
Exécution de code arbitraire pour provoquer un débordement de pile
En analysant le contenu des en-têtes des extensions RTP, il était possible d'exécuter du code arbitraire et de provoquer un débordement dans la pile de WhatsApp.
Mac Windows
03/09/2020
Problème de validation des entrées
Par le biais des messages de localisation en direct, un agresseur aurait pu permettre la création de scripts intersites par le biais d'un lien.
Android
03/09/2020
Débordement de la mémoire tampon
Cela permettait une écriture hors des limites par le biais de transmissions vidéo conçues pour agir lors de la réponse.
Mac Windows
03/09/2020
Omission des fonctions de sécurité dans WhatsApp Desktop
Un problème de contournement des fonctions de sécurité dans les versions de WhatsApp Desktop antérieures à la version 0.3.4932 aurait pu permettre à la zone de test de s'échapper dans Electron et la remontée des privilèges si elle était combinée à une vulnérabilité d'exécution de code à distance dans le processus de rendu de la zone de test.
Android
03/09/2020
Autocollants liés à des URL sans autorisation
Un problème de validation d'URL permettait d'envoyer des autocollants avec des liens URL qui s'ouvraient automatiquement sans l'autorisation de l'utilisateur.
Android IOS
03/09/2020
Activation de l'écriture hors des limites sur les appareils 32 bits
Par le biais des appels vidéo, un utilisateur pouvait activer l'écriture hors des limites sur des appareils 32 bits.
Android IOS
03/09/2020
Exécution de codes malveillants via des messages vocaux de type « push to talk » (Appuyé - Parlé)
Un agresseur aurait pu utiliser la fonction « push to talk », consistant à envoyer des messages pour exécuter un code malveillant arbitraire.
IOS Mac Windows
21/01/2020
Vulnérabilité dans la prévisualisation des liens à l'aide de Desktop et iPhone
Une vulnérabilité qui combine WhatsApp Desktop et WhatsApp for iPhone permet, par un clic de la victime sur un aperçu d'un lien conçu à cet effet, de créer des scripts entre les sites et de lire des fichiers locaux.
Source :

2019

Android IOS Mac Windows WebApp
17/12/2019
Plantage de l'application liée aux membres des groupes
En utilisant WhatsApp Web, Google Chrome et un serveur distant en Python, les agresseurs peuvent modifier le nom d'un participant à un groupe et provoquer des plantages en entrant dans une boucle infinie. La seule solution consistait à réinstaller l'application, avec la perte des données de groupe en résultant.
Source :
Android
14/11/2019
Piratage de l'application à l'aide de fichiers MP4
Par l'envoi à un contact puis par le téléchargement en découlant d'un fichier MP4 associé à ses métadonnées, la mémoire était corrompue et une attaque DoS ou RCE était générée. Les agresseurs pouvaient espionner les données et voler des fichiers à distance.
Source :
Android
23/10/2019
Débordement de la mémoire tampon dans les bibliothèques Android
Une erreur de débordement de la mémoire tampon de la pile est localisée dans une bibliothèque Android, spécifiquement appelée libpl_droidsonroids_gif avant sa version 1.2.19, ce qui pourrait permettre à un agresseur distant d'exécuter un code arbitraire et de provoquer un déni de service. L'erreur pourrait affecter les versions de WhatsApp Messenger sous Android antérieures à la version 2.19.291.
Source :
Android
03/10/2019
Exécution de codes à distance au travers de la création et de l'envoi de GIF
Une faille dans une bibliothèque Android liée aux GIF contenait une double vulnérabilité dans la fonction DDGifSlurp. Grâce à cette brèche, des agresseurs distants pouvaient exécuter du code et provoquer un déni de service en analysant des GIF spécifiquement conçus à cet effet.
Source :
Android IOS
27/09/2019
Attaques utilisant les balises EXIF sur les images WEBP
Un agresseur pouvait utiliser les balises EXIF des images de type WEBP pour écrire hors des limites et déborder les bibliothèques d'analyse des médias.
Source :
Android IOS Mac Windows WebApp
08/08/2019
Une faille dans le code permet le traitement des messages (II)
Bien que WhatsApp ait signalé une correction de cette vulnérabilité, initialement signalée en août 2018, les mêmes chercheurs constatent que le problème n'a pas été résolu et qu'il est toujours possible de manipuler les messages et de les faire passer pour authentiques.
Source :
Mac Windows
16/07/2019
Erreur lors de la validation correcte de la saisie
Un problème dans le processus d'enregistrement permettait d'envoyer des fichiers malveillants aux utilisateurs, ceux-ci s’affichant avec une mauvaise extension.
Source :
Android
15/07/2019
Media File Jackin
Une erreur a été détectée par laquelle les fichiers multimédias de WhatsApp et Telegram étaient visibles l'un pour l'autre via le stockage sur carte SD. Il devenait alors possible de modifier un fichier ou un document avant son envoi.
Source :
Android IOS Windows
14/05/2019
Brèche de sécurité avec des attaques possibles par le biais d'appels téléphoniques. Vulnérabilité de la pile tampon de WhatsApp VoIP. Exécution de codes à distance par le biais de paquets RTCP envoyés à un numéro par le biais d'appels téléphoniques
Une faille de sécurité a permis de l'espionnage par le biais d'appels téléphoniques. On suppose que NSO, la société de cybersécurité, a profité de cette défaillance pour proposer un outil d'espionnage sur une base commerciale. Lorsqu'un appel était reçu et sans qu'il soit nécessaire d'y répondre, un logiciel d'espionnage était installé. Les appels pouvaient ne laisser aucune trace. Des journalistes, des dissidents politiques, des diplomates et des membres de différents gouvernements ont été victimes du logiciel appelé Pegasus, dont WhatsApp confirmera plus tard qu'il aurait touché environ 1 400 personnes.
Android
10/05/2019
Récupération des messages précédemment envoyés
Une erreur dans la logique de développement permettait à quelqu'un ayant accès au compte de récupérer les messages précédemment envoyés. Dans tous les cas, il était nécessaire de connaître les métadonnées de ces messages, qui en théorie ne sont pas accessibles au public.
Source :
IOS
28/01/2019
Débordement de pile lors de la réception d'appels sous iOS
Dans WhatsApp pour iOS, une faille dans le processus de détermination de la taille lors de l'analyse des paquets chez l'expéditeur lors de la réception d'un appel pourrait entraîner un débordement de la pile.
Source :
Android IOS Windows
28/01/2019
Erreur de pile due à un défaut de calcul des données transmises lors de la réception des appels
Erreur d'écriture en dehors de l'espace alloué à la pile lors de la réception des appels, la quantité de données transmises n'était pas prise en compte de manière adéquate dans l'allocation de la pile.
Source :

2018

Android IOS
10/10/2018
Débordement de mémoire lors de la réception d'appels vidéo
Des problèmes de mise en œuvre du RTP, permettent de prendre le contrôle d'un client par le biais d'un appel vidéo conçu à cet effet. Cela concerne Android et iOS, et non WhatsApp Web car il utilise WebRTC pour cette fonctionnalité.
Android IOS Mac Windows WebApp
07/08/2018
Une faille dans le code permet le traitement des messages
Une faille de sécurité détectée par une société externe a permis à des personnes mal intentionnées d'intercepter et de manipuler des messages envoyés. Cette faille permettait de modifier la réponse d'un participant, de citer des messages de personnes qui n'avaient pas écrit ces textes ou d'envoyer des messages à des membres d'un groupes qui semblaient apparemment diffusés à l'ensemble du groupe, mais n'étaient en fait visibles que par cet utilisateur.
Source :
Android IOS Mac Windows WebApp
31/05/2018
Faille dans le plugin du bouton de partage de contenu
Les plugins Add Social Share Messenger Buttons WhatsApp et Viber 1.0.8 de MULTIDOTS pour WordPress présentent une faille par laquelle un agresseur, par hameçonnage ou ingénierie sociale, peut demander à un administrateur d’un site WordPress de modifier les paramètres du plugin en utilisant la fonction Cross-Site Request Forgery (CSRF) dans wp-admin/admin-post.php.
Source :
Android IOS
23/05/2018
Réception bloquée des messages des contacts
Les utilisateurs des réseaux sociaux avertissent qu'un utilisateur bloqué peut continuer à envoyer des messages. L'erreur semblait être liée à une mise à jour des clients mobiles WhatsApp pour Android et iPhone, et sera résolue peu après par une nouvelle mise à jour.
Android
28/01/2018
Débordement de pile lors de la réception d'appels sous Android
Dans WhatsApp pour Android, une faille dans le processus de détermination de la taille lors de l'analyse des paquets chez l'expéditeur lors de la réception d'un appel pourrait entraîner un débordement de la pile.
Source :
Android IOS Windows
28/01/2018
Erreur dans les en-têtes RTP
Une analyse incorrecte des en-têtes de l'extension RTP a rendu possible la lecture hors des limites.
Source :

2017

WebApp
09/10/2017
Suivi des activités des contacts dans WhatsApp Web
Le chercheur Rob Heaten découvre une faille dans WhatsApp Web qui permet de surveiller l'activité des contacts. En utilisant une extension de Chrome, en enregistrant les temps de connexion, même s'ils sont masqués, et en comparant les informations avec celles d'autres contacts, il serait possible d'établir des schémas, des routines et même des conversations entre eux.
Source :
Android IOS Mac Windows WebApp
01/07/2017
Auto-invitations à des groupes
Des chercheurs allemands mettent en garde contre une faille permettant à une personne ayant accès aux serveurs de WhatsApp de s'inviter dans des discussions de groupe. Facebook en minimise l'importance, étant donné que, comme cela a été dit, il est préalablement nécessaire d'avoir accès aux serveurs, ce qui limite considérablement le nombre de possibilités, et les participants aux groupes peuvent également voir qu'une nouvelle personne non invitée les a rejoint. De plus, ces personnes n'ont également pas accès aux messages précédemment envoyés.
Android
09/04/2017
Informations non retirées de la carte SD et accessibles à d'autres applications
WhatsApp pour Android ne supprime pas les fichiers envoyés et reçus depuis la carte SD de l'appareil lorsqu'un tchat est supprimé ou que l'application est désinstallée. Les données de la carte SD sont stockées sans cryptage et sont accessibles à d'autres applications disposant d'une autorisation d'accès au stockage. Selon Facebook, il ne s'agissait pas d'une erreur, mais de la prestation attendue pour permettre aux utilisateurs d'exporter des données.
WebApp
15/03/2017
Vol d’un compte par le biais de photos ou de vidéos
Une vulnérabilité permettait d'envoyer des vidéos ou des messages normaux dans l'aperçu mais contenant du code HTML, capable de charger des logiciels malveillants par le biais du navigateur. Il était ainsi possible de prendre le contrôle total du compte de l'utilisateur, de lire ses messages, de les envoyer ou de visualiser le contenu multimédia. La vulnérabilité a été signalée le 8 mars de cette même année, une semaine plus tôt. Quand elle a été rendue publique, elle avait déjà été réglée.
Source :
Android IOS Mac Windows WebApp
13/01/2017
Faille de sécurité qui permettrait la lecture des messages
Le chercheur allemand Tobias Boelter découvre une erreur dans le cryptage de bout en bout de l'application. En générant les clés de sécurité à l'aide du protocole de signal Open Whysper Systems, on découvre que WhatsApp a la capacité de forcer la création de nouvelles clés pour les utilisateurs hors ligne. De nombreux experts en sécurité estiment que cette erreur n'en est pas une et, en fait, le journal The Guardian, qui a initialement publié l'erreur, s'est rétracté sur une grande partie de ses propos.

2016

IOS
02/08/2016
Les conversations ne sont pas supprimées
Après le déploiement du cryptage des messages, un chercheur a découvert une faille dans les bibliothèques SQL qui permettait de suivre les conversations supprimées avec vos contacts. Selon son analyse, il ne serait possible de supprimer complètement une conversation qu'en supprimant et en réinstallant l'application.
Android IOS Mac Windows WebApp
06/05/2016
Défaillance du cryptage des messages
Une société russe de sécurité informatique découvre comment il est possible d'espionner les conversations en utilisant les failles de sécurité du protocole SS7. En se connectant au nœud du réseau qui dessert le terminal et en utilisant l'erreur, il serait possible de voler le SMS d'authentification et de se faire passer pour les participants. Cela pouvait se produire chaque fois que les paramètres de sécurité par défaut étaient utilisés à ce moment, lorsque l'option « Afficher les notifications de sécurité » dans les paramètres n'était pas activée, ce qui aurait pu avertir l'utilisateur d'un problème. Dans tous les cas, il s'agit davantage d'une erreur de protocole que d'une erreur WhatsApp.

2015

WebApp
08/09/2015
Installation de logiciels malveillants sur les PC à l'aide de WhatsApp Web et d'une vCard
En utilisant le client Web sur un PC, un agresseur pourrait envoyer une vCard contenant le code d'un logiciel malveillant et l'installer directement sur l'ordinateur.
Source :
IOS
30/07/2015
Accès aux chats de tiers sur les appareils sous iOS
Un étudiant en ingénierie informatique informe qu'en utilisant un iPhone et un ordinateur sous Linux, il peut extraire des fichiers et des contacts envoyés et reçus.
Source :
Android IOS
30/05/2015
Vol d’un compte par le biais d'un autre dispositif
Une faille dans le processus d'identification de l'utilisateur permet à un agresseur d'accéder à votre compte. En installant WhatsApp sur un second appareil, en connaissant le numéro de téléphone de la victime et en ayant accès à son téléphone, il était possible de voler le compte. Pour cela, une nouvelle installation est lancée avec le numéro de la victime, le code de vérification est demandé par un appel sur son téléphone portable auquel on peut répondre sans déverrouiller le téléphone et on utilise ce code sur le deuxième client. Jusqu'à ce que la victime puisse à nouveau utiliser son compte, un nombre indéterminé de minutes est passé qui peut être utilisé pour espionner toutes les conversations.
Source :
IOS
26/05/2015
Un bogue lié aux caractères réinitialise le téléphone
Un agresseur distant pourrait utiliser CoreText pour déclencher une attaque par déni de service en utilisant un texte Unicode. En envoyant divers caractères qui ne sont pas correctement assimilés par la même notification, le message entraîne le redémarrage du téléphone.
Source :
Android IOS Windows
13/05/2015
Piratage de comptes par le biais de la messagerie vocale
Le processus de vérification de WhatsApp permet à une personne qui connaît votre numéro de téléphone de voler votre compte si votre boîte de réception est active. Il suffit d'installer WhatsApp et de commencer à enregistrer le numéro à un moment où la victime ne regarde peut-être pas son téléphone. Quand on ne répond pas à l'appel de vérification, WhatsApp laisse le message dans la boîte vocale si celle-ci est active, une boîte qui peut être appelée pour connaître le code de vérification et prendre le contrôle du compte.
Source :
WebApp
29/01/2015
Une erreur permet de voir les photos des utilisateurs de contacts qui ne figurent pas dans le répertoire/ Les images supprimées sont toujours visibles sur le site Web de WhatsApp
Indrajeet Buyhan découvre deux failles dans la sécurité et la protection de la vie privée. D'une part, il montre comment les photos de profil des utilisateurs sont visibles même lorsque que le contact ne figure pas dans le carnet d'adresses. Tout le monde peut voir votre photo, même si vous spécifiez dans les paramètres qu'il ne doit pas en être ainsi. La seconde erreur concerne la synchronisation de WhatsApp Web et des clients mobiles : lorsque vous supprimez une photo dans une conversation, elle devient floue sur le mobile et inaccessible, mais reste disponible dans la version Web du client.

2014

Android
01/12/2014
Envoi de messages susceptibles de corrompre la conversation et de forcer leur suppression
Deux adolescents découvrent un bug par lequel l'envoi d'un message texte avec un jeu spécial de très petits caractères (seulement 2 ko) a provoqué une erreur dans l'application, rendant impossible l'accès à cette conversation. Il ne s'agissait pas d'une faille de sécurité extrêmement grave, mais elle permettait de corrompre toute conversation en la forçant à être supprimée et à entamer une nouvelle conversation. Cela fut corrigé dans la mise à jour 2.11.468.
Android
17/04/2014
Envoi de localisation sans cryptage
Un groupe de chercheurs de l'université de New Haven détectent une faille de sécurité par laquelle les messages indiquant l'emplacement d'un contact sont envoyés en clair, ce qui leur permet d'intercepter le contenu de ces messages et de connaître la position réelle d'un contact en utilisant une attaque de type « man-in-the-middle » avec des programmes tels que WireShark.
Source :
Android
11/03/2014
Vol de la base de données WhatsApp
Un ingénieur informatique néerlandais prévient que la base de données WhatsApp est stockée sur la carte SD des terminaux, et que toute application ayant accès à cette carte SD pourrait obtenir le fichier. Lors d'un processus transparent, les malfaiteurs sont en mesure de copier la base de données et de la télécharger sur un serveur. Cette base de données a été cryptée à l'aide de SQLite3, mais il a été possible de la décrypter en utilisant un scrypt de Phyton et WhatsApp Xtract. Selon WhatsApp, dans une note publiée quelques jours plus tard, ces rapports ne donnaient pas une image fidèle de la situation et étaient exagérés : une utilisation responsable du logiciel et de l'appareil, comme dans toute autre circonstance, aurait suffi à éviter d'être victime d'une attaque.
Android IOS Windows
08/03/2014
Une faille de sécurité permettrait la falsification de messages
Deux chercheurs présentent une preuve de concept à la RootedCon 2014 qui démontre qu'il est possible de contrefaire des messages WhatsApp sans laisser de trace.

2013

Android
22/11/2013
Il est possible de connaître la localisation d'un contact grâce à son adresse IP
L'introduction d'une nouvelle fonctionnalité de téléchargement d'images associée au partage de liens URL permettrait à une personne malveillante de connaître l'adresse IP d'une personne et donc sa localisation. Autres données utiles pour la mise en œuvre des attaques par déni de service.
Android IOS Windows
03/11/2013
Il est possible de décrypter les messages envoyés depuis WhatsApp
Pablo San Emeterio et Jaime Sanchez publient une enquête dans laquelle ils expliquent en détail comment fonctionne le système de cryptage de messages de WhatsApp et comment, grâce à ces informations, il est possible d'intercepter les messages envoyés et de les manipuler à l’attention de leur destinataire final. En guise de solution, ils inventent l'application WhatsApp Privacy Guard. Le problème réside dans l'utilisation de la même clé pour crypter deux messages, une défaillance du protocole de cryptage RC4.
Android IOS Windows
08/10/2013
Problèmes relatifs au cryptage de WhatsApp
Le chercheur Thijs Alkemade détecte deux vulnérabilités dans le cryptage des messages de WhatsApp. D'une part, il découvre qu'une personne ayant accès aux messages pourrait être en mesure de déchiffrer leur contenu malgré le cryptage utilisé. D'autre part, l'utilisation de la même clé RC4 permet des attaques de type « man-in-the-middle » capables d'intercepter des paquets.
Source :
Android IOS Windows
17/01/2013
Une faille de sécurité permet la création de WhatsApp Voyeur
Alejandro Amo publie le service Web WhatsApp Voyeur comme preuve que n'importe qui peut obtenir des informations à partir des données des profils WhatsApp sans les avoir dans son agenda, comme des photos, des statuts ou des dates. Le service a cessé de fonctionner en raison de menaces de poursuites judiciaires. la réalité est que cela est parfaitement possible en ajoutant simplement un contact à votre agenda.

2012

Android IOS Windows
04/05/2012
WhatsApp Sniffer, messages en texte clair
L'application WhatsApp Sniffer est lancée, vous permettant d'espionner les tchats. En août 2012, il est annoncé que WhatsApp commence à crypter les messages, sans spécifier le protocole. Les numéros de téléphone restaient toujours visibles.
Android IOS Windows
03/01/2012
Apparition de WhatsAppStatus, qui permet de modifier le statut de tout contact
Un service web appelé WhatsAppStatus est diffusé, qui tire parti des différentes vulnérabilités détectées le mois précédent pour vous permettre de modifier aléatoirement le statut de vos contacts. L'erreur sera corrigée le 6 janvier.
Source :

2011

Android IOS Windows
19/12/2011
Mises à jour arbitraires du statut, erreurs de journalisation et erreurs liées au texte brut
On découvre de nombreuses vulnérabilités liées aux statuts des utilisateurs dans l'application, au processus d'enregistrement et au protocole des texte bruts, ce qui permet de les intercepter très facilement.
Android IOS
10/12/2011
Lancement de Whatsapp Xtract, il est désormais possible de voler la base de données WhatsApp d'un utilisateur
Un groupe de chercheurs lance WhatsApp Xtract, un logiciel capable d'extraire et de décrypter la base de données que WhatsApp stocke localement sur les appareils. Selon les rapports, cette base de données cryptée, qui stocke tous les messages entrants et sortants, peut être consultée sur des appareils mobiles rootés ou jailbreakés et peut être facilement décodée car elle utilise toujours la même clé statique et cryptée.
Android IOS Windows
17/05/2011
Les informations de contact et les messages sont envoyés sous forme de textes en clair
Un chercheur découvre que WhatsApp envoie toutes les informations en clair sur le réseau, de sorte que tout utilisateur peut être victime d'un espionnage par le biais d'une attaque de type « man-in-the-middle » (l'homme au milieu), qui, grâce à un logiciel renifleur tel que WireShark, est capable de voir les données passant par le port 443. WhatsApp a implicitement reconnu qu'il n'y avait pas de couche de sécurité supplémentaire en répondant que les protocoles de sécurité appliqués étaient ceux des réseaux Wi-Fi et 3G.
Android
01/05/2011
Une faille de sécurité a permis le détournement de comptes d'utilisateurs
Problèmes de sécurité dans le processus de vérification ou d'authentification du numéro de téléphone. Un développeur a découvert une faille permettant de détourner à distance le compte d'un utilisateur.