Réputées pour leur système de chiffrement censé protéger la vie privée des usagers, les messageries instantanées Telegram et WhatsApp étaient en fait exposées à une grave faille de sécurité qui permettait de pirater un compte avec une simple photo piégée. Présentes seulement sur les versions web des services, ces vulnérabilités viennent d'être corrigées.

au sommaire


    Telegram et WhatsApp ont en commun l'utilisation d'un système de chiffrement des échanges de bout en bout, ce qui veut dire que seuls les utilisateurs engagés dans une conversation peuvent lire les contenus. Une caractéristique qui a contribué au succès de ces services de messagerie instantanée, notamment dans des pays où les libertés civiles sont malmenées ou absentes. Mais il s'avère que cette force était également un redoutable talon d'Achille.

    En effet, des experts de la société Check Point, éditeur de solutions de sécurité, ont mis à jour une faille de sécurité qui permettait de prendre le contrôle total d'un compte utilisateur en servant tout simplement d'un fichier image piégé. Tous les échanges étant chiffrés, il est donc impossible de détecter la présence d'un logiciel malveillantlogiciel malveillant ou d'un virus caché dans un message.

    Comme on peut le voir dans la vidéo de démonstration ci-dessous réalisée par l'équipe de Check Point, une fois que la victime ouvre la photo, elle libère un logiciel malveillant qui s'installe à son insu et donne un accès direct et complet à son compte à l'assaillant. Ce dernier peut alors espionner l'ensemble des conversations, télécharger tous les contenus échangés (photos, vidéos, documents...), récupérer les contacts afin de leur envoyer la même image piégée en usurpant l'identité de sa cible.


    La démonstration de piratage de WhatsApp réalisée par Check Point. Dans la fenêtre de droite, l’interface web utilisée par l’assaillant (attacker’s account). Dans celle de gauche, celle de la victime qui reçoit la photo d’un chat obèse. Une fois ouvert, le cliché libère un malware qui active une prise de contrôle du compte par le cyberpirate. Ce dernier peut alors consulter toutes les conversations, télécharger les contenus partagés et récupérer le carnet d’adresses. © Check Point Software Technologies

    Les versions pour smartphones ne sont pas concernées

    Un outil de rêve pour des cybercriminels, mais aussi pour des agences de renseignement qui voudraient garder un œilœil sur des opposants ou des mouvementsmouvements de contestation. Une situation qui avait de quoi inquiéter étant donné l'immense popularité de WhatsAppWhatsApp (1,2 milliard d'utilisateurs) et celle, grandissante, de TelegramTelegram (100 millions d'utilisateurs).

    Il faut toutefois relativiser la portée réelle de cette découverte car la faille de sécurité ne s'appliquait qu'à la version web de Telegram et WhatsApp, accessible depuis un navigateur Internet. Or, il faut savoir que la majorité des usagers se connectent à ces messageries via des applicationsapplications mobilesmobiles sur des smartphones. Cependant, l'accès depuis une interface web est généralement plus répandu dans les pays dont les réseaux de téléphonie mobile sont peu développés ou pas assez performants.

    Il semble en tout cas qu'aucune exploitation malveillante de cette faille n'ait été repérée. Avertis par Check Point, les deux services ont en tout cas réagi avec céléritécélérité en publiant un correctif quelques jours seulement après avoir été informés. Au niveau des usagers, un simple redémarrage du navigateur Internet pour recharger l'interface de WhatsApp ou Telegram suffit à appliquer la mise à jour de sécurité.