Les vulnérabilités de sécurité découvertes dans le client de bureau de WhatsApp exposent les utilisateurs au phishing, aux logiciels malveillants et aux ransomwares, selon de récentes recherches. En effet, le mois dernier, WhatsApp a corrigé une faille de sécurité dans ses applications de bureau qui aurait potentiellement permis aux hackers d’accéder aux fichiers locaux de votre ordinateur.
Gal Weizman, chercheur en cybersécurité de PerimeterX et expert en JavaScript, a déclaré avoir découvert une faille dans la politique de sécurité du contenu (Content Security Policy, CSP) fournie avec WhatsApp, qui permet aux acteurs malveillants de lancer des attaques de contournement et de Cross-Site Scripting (XSS) sur le client de bureau.
Les plateformes Windows et Mac sont toutes les deux concernées, et le chercheur affirme que les cybercriminels pourraient obtenir des autorisations de lecture du système de fichiers local en injectant simplement du code ou des liens malveillants dans les messages envoyés aux utilisateurs de WhatsApp sans que ce contenu soit visible.
Cela est possible à la suite de modifications du code JavaScript apportées aux messages WhatsApp avant qu’ils ne soient envoyés à la cible — techniquement, le chercheur indique que les vulnérabilités permettent à quiconque d’injecter le code malveillant et d’envoyer ensuite le message modifié sans aucun signe évident de falsification.
De plus, explique le chercheur, un pirate peut également modifier les aperçus de sites web qui sont automatiquement générés lors de l’envoi d’un lien vers quelqu’un sur WhatsApp, encore une fois pour injecter du code qui ne serait pas visible lors de la réception du message.
Ancienne version de Chrome
Le client de bureau de WhatsApp fonctionnait sur une ancienne version de Chrome — selon la recherche, l’application était basée sur Chrome 69 alors que la dernière version stable du navigateur était Chrome 78. Les dernières versions de Chrome incluent déjà des modifications qui bloquent de telles attaques.
« Les anciennes versions du framework Chromium de Google Chrome, telles qu’utilisées par les versions vulnérables de l’application de bureau WhatsApp, sont susceptibles de subir ces injections de code, bien que les versions plus récentes de Google Chrome disposent de protections contre de telles modifications JavaScript. D’autres navigateurs, comme Safari, sont encore largement ouverts à ces vulnérabilités », note PerimeterX.
WhatsApp a déjà résolu les problèmes avec un correctif dédié à la mi-décembre, selon la société détenue par Facebook.