Telegram et WhatsApp : des failles corrigées dans les versions web, un navigateur à redémarrer

Fermez la fenêtre 5
image dediée
Securité
Par
le mercredi 15 mars 2017 à 16:50
Vincent Hermann

La société de sécurité Check Point vient de publier une alerte : les versions web de WhatsApp et Telegram étaient vulnérables à une faille de sécurité. Les deux entreprises ont été averties et le souci corrigé. SI le navigateur n’a pas été redémarré depuis plusieurs jours, il est temps de le faire.

Comme l’indique Check Point, la récente publication des documents Vault 7 par Wikileaks a fait craindre pendant un temps que les applications de messageries chiffrant les données étaient vulnérables. Il s’est avéré, comme l’a expliqué Telegram, que les problèmes concernaient des failles dans les systèmes d’exploitation. Aussi, qu’importe les défenses de l’application, si la base est vulnérable, les messageries le sont : les informations peuvent être récupérées avant d’être chiffrées.

Les versions web de WhatsApp et Telegram vulnérables

Même si le message était rassurant, il ne signifie pas pour autant que les utilisateurs sont toujours à l’abri, particulièrement quand les techniques utilisées par la CIA permettent d’aller débusquer d’autres problèmes. Check Point a ainsi trouvé une méthode permettant de prendre le contrôle de comptes Telegram et WhatsApp en passant par leurs versions web.

Ces déclinaisons spécifiques fonctionnent de la même manière : elles sont un reflet de ce qui se trouve sur le smartphone. Les conversations sont normalement chiffrées de bout en bout, mais la faille permet de jouer justement avec cette capacité.

Détourner le chiffrement pour couvrir des fichiers malveillants

Pour exploiter la faiblesse, un pirate doit se débrouiller pour faire ouvrir à l’internaute une pièce jointe ou n’importe quel fichier contenant un malware. L’idée est d’augmenter l’attractivité du fichier pour qu’il soit simplement ouvert, car le reste se passe en arrière-plan. Le malware plonge en effet dans le stockage local des deux services, et ce sur n’importe quel navigateur. De là, le malware peut récupérer les pleins pouvoirs sur les comptes et commencer à s’en servir.

C’est ici que le chiffrement de bout en bout est détourné de son utilisation première. Le concept de cette protection est que l’entreprise qui propose le service ne peut – en théorie – pas voir les messages échangés car elle ne possède qu’une partie de la clé. Conséquence, le malware expédie des fichiers malveillants aux contacts de l’utilisateur. Les services ne détectent pas ces fichiers à cause du chiffrement, qui leur donne une apparence différente à chaque échange. La propagation peut donc continuer sous les radars.

La méthode diffère cependant selon le service que l’on souhaitait attaquer. Sur WhatsApp, les pirates doivent se débrouiller pour faire ouvrir une image à l’utilisateur. Une technique qui n'est guère complexe, pour peu que l’on promette des informations étonnantes, un « lolcat » ou un peu de nudité (au cas où certains tomberaient encore dans ce type de piège). Sur Telegram par contre, l’exploitation est plus délicate. Il faut que l’utilisateur ouvre une vidéo dans un nouvel onglet, un comportement jugé « bien peu habituel » par Telegram.

whatsapp malware

Des failles signalés la semaine dernière et déjà corrigées

Quoi qu’il en soit, Check Point a remonté l’information sur ces problèmes le 7 mars. Les deux entreprises se sont penchées sur les détails fournis et ont indiqué que la faille était avérée à chaque fois. Dans les jours qui ont suivi, les versions web ont été modifiées de la même manière : les fichiers joints aux conversations sont désormais vérifiés avant que le chiffrement n’intervienne. Encore faut-il que le mécanisme de détection utilisé soit assez performant pour bloquer du même coup les menaces récentes.

Côté utilisateur, il n’y a qu’une manipulation à faire : redémarrer le navigateur si cela n’a pas été fait depuis plusieurs jours. Par mesure supplémentaire de sécurité, on peut également vider le cache, même s’il faudra probablement se reconnecter aux services après coup. Peu d’actions à prendre donc, mais puisqu’il s’agit de services web et que le navigateur n’est pas en cause, tout se passe du côté des serveurs.

Au risque d’enfoncer une porte ouverte, on rappellera que ces problèmes de sécurité sont donc résolus et qu’ils ne concernent pas les applications mobiles des messageries. Si vous n’avez jamais utilisé les déclinaisons web de ces services, vous n’êtes pas concernés. Le conseil de sécurité restera cependant le même que depuis de nombreuses années : n'ouvrez jamais un fichier qui vous paraît louche ou dont vous doutez de l'origine.

Google Allo avait lui aussi une faille, déjà corrigée

L'application de Google était vulnérable elle aussi à une fuite d'informations, à cause d'Assistant, sa fonctionnalité permettant d'interroger le moteur de recherche. Exploitée, le bug pouvait afficher dans les conversations les recherches précédemment faites. En outre, le souci pouvait se manifester assez simplement : il suffisait de demander à Assistant de s'identifier lui-même.

Google a assuré à Recode que le problème avait été corrigé, et qu'il n'affectait qu'Allo. Hangouts et Meets sont donc épargnés.


chargement
Chargement des commentaires...