C’est le moment de faire un saut sur Google Play et l’App Store : WhatsApp a publié fin septembre une mise à jour de son application mobile qui vient régler une faille de sécurité très critique. Bonne nouvelle : il n’y a pas d’indication suggérant une utilisation active de la brèche par un tiers malveillant, rapporte Techcrunch le 27 septembre 2022. Il vaut mieux toutefois boucher l’ouverture dès que possible.
Une faille WhatsApp exploitable lors d’une visio
WhatsApp ne s’est pas épanché sur les détails du bug, hormis un bref avis de sécurité publié sur son site. Le message concernant le bug, référencé sous le code CVE-2022-36934, évoque un problème de comportement pour l’application sur Android et iOS. Dans une circonstance précise, il peut être possible de déclencher du code à distance lors d’un appel vidéo en cours.
En clair, il serait possible d’installer un logiciel malveillant pendant une visio. Le bug profite d’un problème dans la mémoire allouée pour opérer un calcul. Faute d’espace, les données débordent et viennent écraser d’autres segments en mémoire. Ces données qui sortent en quelque sorte du cadre peuvent contenir du code malveillant.
Le dysfonctionnement est jugé très grave, avec une note de 9,8/10. Cette note est établie selon un référentiel qui permet de jauger de la dangerosité des failles. On regarde comment chaque brèche se comporte, ce qu’elle permet de faire ou non, la manière de l’exploiter, la présence de contre-mesures et ainsi de suite. À partir de 9/10, on parle de faille critique.
(mise à jour de l’article pour corriger une imprécision)
Le futur de Numerama arrive bientôt ! Mais avant ça, on a besoin de vous. Vous avez 3 minutes ? Répondez à notre enquête
