WhatsApp, l’application de messagerie qui a notamment fondé son immense popularité sur sa bonne réputation en matière de sécurité, a admis mardi avoir été infectée par un logiciel espion, un déboire de plus pour sa maison-mère Facebook.
Une faille sécuritaire – dévoilée par le Financial Times, et résorbée dans la dernière mise à jour de WhatsApp – a permis à des pirates informatiques d’insérer un logiciel malveillant sur des téléphones en appelant les usagers de l’application, utilisée par 1,5 milliard de personnes dans le monde.
En Europe, WhatsApp a informé le régulateur irlandais d’une « sérieuse faille de sécurité », et averti les autorités américaines et des ONG du problème, sans donner toutefois de chiffres sur le nombre d’utilisateurs concernés ou visés.
Le Financial Times cite un vendeur de logiciels d’espionnage affirmant que ce programme avait été mis au point par une société israélienne bien connue des services de renseignement de différents pays, NSO Group, accusée d’aider des gouvernements du Moyen-Orient au Mexique à épier des militants et des journalistes.
WhatsApp a découvert début mai l’attaque informatique, qui vise aussi bien des appareils Android que des iPhones d’Apple, entre autres, et a trouvé ensuite un remède.
« Cette vulnérabilité est majeure puisqu’elle permet une prise de contrôle totale de l’équipement sous-jacent », explique Loïc Guézo, secrétaire général du Clusif (Club de la sécurité de l’information français).
« Il faut imaginer qu’on peut utiliser toutes les ressources de votre téléphone sans témoin d’activité de type voyant rouge », ajoute-t-il.
Potentiellement, les attaquants ont eu accès au contenu des smartphones infectés (contacts, messages, photos…), et ils ont pu installer des logiciels pour écouter (ou visualiser) l’environnement des propriétaires de ces appareils, sans qu’ils s’en rendent compte.
– Réputation –
Dans un communiqué envoyé, un porte-parole de Whatsapp appelle les usagers à « télécharger la dernière version de notre application, et à mettre régulièrement à jour celle du système d’exploitation de leur téléphone ».
Rachetée par Facebook en 2014 pour 22 milliards de dollars, la messagerie a construit sa bonne réputation sur la sécurité et de protection des données, avec cette promesse que peut lire tout usager sur son application: « Vos messages et appels sont protégés par le chiffrement de bout en bout, ce qui signifie que ni WhatsApp ni des tierces parties ne peuvent les lire ou les écouter ».
« C’est un coup très très mauvais pour WhatsApp, mais ils ont réagi très vite », estime Loïx Guézo, avant de rappeler qu’aucun système n’est inattaquable.
C’est un déboire de plus pour Facebook, la maison mère de WhatsApp, qui fait l’objet de scandales en cascades sur ses pratiques en matière de respect des données personnelles.
– « Mine d’or » –
Le logiciel espion qui a visé la messagerie est sophistiqué et « n’a pu être utilisé que par des acteurs extrêmement déterminés », selon WhatsApp, qui assure qu’un « nombre limité d’utilisateurs ont été ciblés ».
D’après leurs premières enquêtes, « cette attaque a toutes les empreintes d’une entreprise qui travaille avec de nombreux gouvernement dans le monde », a ajouté la société sans nommer l’entreprise en question.
Des chercheurs en sécurité informatique ont estimé que le programme informatique malveillant présentait des similarités avec d’autres technologies développées par NSO, selon le New York Times.
La firme israélienne a de son côté réagi dans un communiqué en affirmant que sa technologie est « commercialisée par l’intermédiaire de licences à des gouvernements dans le seul objectif de combattre la criminalité et le terrorisme ».
NSO, basée à Herzliya, au nord de Tel-Aviv, dans la « Silicon Valley » israélienne, a notamment conçu la plateforme Pegasus, qui donne à ses clients l’accès à diverses fonctionnalités des appareils piratés.
« Leur cœur de métier, ce sont les portes d’entrée et les systèmes d’interception qu’ils installent ensuite », explique Loïc Guézo. Cette faille constituait une « porte d’entrée », et, s’il s’agit bien de NSO, « ils avaient une mine d’or entre les mains qui vient de disparaître ».
Il rappelle cependant que maintenant que la vulnérabilité est connue, « elle peut potentiellement être utilisée par des criminels de base », chez les utilisateurs qui n’ont pas mis à jour leur application.