WhatsApp propose une nouvelle mise à jour de son application mobile. Elle corrige une vulnérabilité très importante.

C’est le moment de faire un saut sur Google Play et l’App Store : WhatsApp a publié fin septembre une mise à jour de son application mobile qui vient régler une faille de sécurité très critique. Bonne nouvelle : il n’y a pas d’indication suggérant une utilisation active de la brèche par un tiers malveillant, rapporte Techcrunch le 27 septembre 2022. Il vaut mieux toutefois boucher l’ouverture dès que possible.

Une faille WhatsApp exploitable lors d’une visio

WhatsApp ne s’est pas épanché sur les détails du bug, hormis un bref avis de sécurité publié sur son site. Le message concernant le bug, référencé sous le code CVE-2022-36934, évoque un problème de comportement pour l’application sur Android et iOS. Dans une circonstance précise, il peut être possible de déclencher du code à distance lors d’un appel vidéo en cours.

Source : Nino Barbey pour Numerama
Le problème concerne les appels en visio. // Source : Nino Barbey pour Numerama

En clair, il serait possible d’installer un logiciel malveillant pendant une visio. Le bug profite d’un problème dans la mémoire allouée pour opérer un calcul. Faute d’espace, les données débordent et viennent écraser d’autres segments en mémoire. Ces données qui sortent en quelque sorte du cadre peuvent contenir du code malveillant.

Le dysfonctionnement est jugé très grave, avec une note de 9,8/10. Cette note est établie selon un référentiel qui permet de jauger de la dangerosité des failles. On regarde comment chaque brèche se comporte, ce qu’elle permet de faire ou non, la manière de l’exploiter, la présence de contre-mesures et ainsi de suite. À partir de 9/10, on parle de faille critique.

(mise à jour de l’article pour corriger une imprécision)