Une importante brèche dans les versions Windows et Mac de WhatsApp permettait à des agresseurs d’avoir un certain temps accès aux données d’utilisateurs. Dans la toute nouvelle version du logiciel, cette brèche devrait être colmatée.
Via la version desktop de WhatsApp, les utilisateurs peuvent recourir à l’application de clavardage (chat) populaire sur leur PC Windows ou Mac. C’est nettement plus facile que via l’écran tactile d’un smartphone, mais ce n’est donc pas tout à fait sans danger, comme il apparaît maintenant. Via une faille, des personnes mal intentionnées pouvaient accéder à des données personnelles en utilisant un message spécialement préparé.
Le bug a été découvert par Gal Weizman de PerimeterX, qui le décrit dans un message posté sur son blog. Les problèmes survenus étaient dus au pré-affichage que WhatsApp génère automatiquement d’une page web, lorsque l’utilisateur envoie une URL. C’est ainsi que du code JavaScript intégré à une bannière pouvait contourner certains mécanismes de sécurité, ce qui ouvrait la porte aux données locales de l’utilisateur.
Selon Weizman, un bug se trouvant dans la version Electron de Chromium serait à la base de la brèche de sécurité. Or WhatsApp utilise cette structure pour l’interface utilisateur de ses versions desktop. Dans Chromium même, le bug avait précédemment déjà été corrigé, mais WhatsApp a ensuite pendant un certain temps encore utilisé l’ancienne version Electron.
La brèche devrait être colmatée dans la version 0.3.930 des clients Windows et Mac.
En collaboration avec Dutch IT Channel
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici