WhatsApp : un bogue de corruption mémoire qui pouvait être déclenché grâce à un simple appel vidéo,
a été corrigé sur iOS et Android

Natalie Silvanovich, une experte en sécurité informatique travaillant chez Google au sein de l’équipe Project Zero, a découvert une faille affectant le service de messagerie populaire WhatsApp le 31 août et l’a signalé à Facebook, maison mère de WhatsApp.

Pour être plus précis, la faille de sécurité a été localisée dans le protocole RTP, utilisé lors des appels vidéo.

Selon le rapport de Silvanovich, le bogue est déclenché lorsqu'un utilisateur reçoit un paquet RTP corrompu, ce qui déclenche l'erreur de corruption et provoque le plantage de l'application. En pratique, le paquet corrompu qui déclenche le crash peut être envoyé via un simple appel vidéo.

« Ce problème peut survenir lorsqu'un utilisateur de WhatsApp accepte un appel d'un homologue malveillant », a expliqué Silvanovich. « Cela concerne à la fois les clients Android et iPhone ».

Silvanovich n'a pas précisé si d'autres actions (telles que l'exécution de code à distance) seraient possibles, mais la faille était suffisamment grave pour attirer l'attention de son collègue chercheur chez Google, Tavis Ormandy. Bien qu'il ne soit pas établi que le plantage de l'application provoqué par ledit paquet puisse être utilisé afin d'exécuter du code à distance, le risque existe bel et bien et a d'ailleurs été qualifié de « gros problème » par ce second chercheur de Google Project Zero : « le simple fait de répondre à un appel provenant d’un attaquant pouvait complètement compromettre WhatsApp », a-t-il résumé.

Nom : whatsapp hack.png
Affichages : 3684
Taille : 122,4 Ko

Seuls les clients Android et iOS de WhatsApp sont concernés, car ils sont les seuls à utiliser le protocole RTP (Real-time Transport Protocol) pour la vidéoconférence. Le client Web de WhatsApp n'est pas affecté car il utilise WebRTC pour les appels vidéo.

Silvanovich a également publié un code PoC et des instructions pour reproduire une attaque.

Selon Silvanovich, WhatsApp a résolu le problème dans une mise à jour publiée le 28 septembre pour le client Android et le 3 octobre pour le client iPhone.

« WhatsApp est profondément préoccupé par la sécurité de ses utilisateurs. Nous collaborons régulièrement avec des chercheurs en sécurité du monde entier pour garantir la sécurité et la fiabilité de WhatsApp. Nous avons rapidement publié un correctif pour la dernière version de WhatsApp afin de résoudre ce problème », a déclaré un porte-parole de WhatsApp. .

La société appartenant à Facebook a déclaré n'avoir trouvé aucune preuve de ce type d'attaque et avoir encouragé les utilisateurs à mettre à jour leurs clients mobiles pour prévenir tout abus.

Pour rappel, le Projet Zero est une équipe mise en place par Google pour dénicher des vulnérabilités critiques dans les logiciels, notamment les failles 0-day (c’est-à-dire les brèches qui ne sont pas documentées ou dont le correctif n’est pas connu), et qui s’efforce de suivre les principes de la divulgation responsable.

Dans les grandes lignes, les membres du Projet Zéro, lorsqu’ils identifient un incident dans tel ou tel programme informatique, accordent un délai de 90 jours à l’entité qui en est à l’origine pour qu’elle prenne les mesures qui s’imposent. Pendant ce temps, l’existence de cette vulnérabilité est tenue secrète, les échanges d’informations se faisant en toute discrétion entre les parties prenantes.

Ce n’est qu’au moment de l’expiration de ce délai, ou lorsque le souci a été résolu, que la divulgation a lieu. C’est pour cette raison qu’un écart temporel significatif peut parfois être observé entre la date de découverte (ici, le 31 août) et celle de sa mention dans les médias (le 9 octobre). Il va sans dire qu'il est fortement conseillé d'effectuer une mise à jour.

Source : Chromium, Twitter (Natalie Silvanovich, Tavis Ormandy)

Voir aussi :

Brian Acton, co-fondateur WhatsApp, explique pourquoi il est parti de Facebook et a abandonné 850 millions de $
Les deux cofondateurs d'Instagram démissionnent de leurs postes chez Facebook, quelques mois après le départ du cofondateur de WhatsApp
WhatsApp va-t-il enfin faire gagner de l'argent à Facebook ? Le service de messagerie sera payant pour certaines entreprises
Jan Koum, le co-fondateur de WhatsApp, annonce son départ de Facebook après un énième accrochage au sujet de la façon de traiter les données
L'État français s'appuie sur le logiciel de messagerie open source Riot et le protocole Matrix pour remplacer WhatsApp et Telegram