WhatsApp sort une mise à jour de son application Android et iOS pour corriger une vulnérabilité. Celle-ci est suspectée de servir à des fins d’espionnage de dissidents, de journalistes et d’avocats.

Si vous n’avez pas encore mis à jour l’application WhatsApp sur votre smartphone, il est grand temps de le faire : une faille de sécurité sérieuse a été découverte par la messagerie instantanée. Exploitée par des tiers malveillants, elle permet de procéder à l’installation d’un logiciel espion sur le téléphone d’une victime en utilisant tout simplement l’une des fonctionnalités du programme.

La découverte, sérieuse, a fait réagir.

En Irlande, la Commission de protection des données personnelles — qui est l’homologue locale de la CNIL — a annoncé être en contact avec l’entreprise pour déterminer si et dans quelle mesure les données des Européens ont été affectées. La Commission précise ne pas avoir été notifiée par WhatsApp. Le RGPD exige une information si une compromission de données est avérée, ce qui n’est peut-être pas le cas ici.

La bonne nouvelle, c’est que cette vulnérabilité peut être corrigée. Ce mardi 14 mai, la plateforme américaine, filiale de Facebook, indique qu’un correctif est disponible aussi bien pour Android que pour iOS. D’après le laboratoire de recherche Citizen Lab, affilié à l’université de Toronto, au Canada, au moins une attaque est suspectée, à l’encontre d’un avocat spécialisé dans les droits de l’homme.

whatsapp

L'application WhatsApp.

Source : Webster2703

La brèche en question, qui a potentiellement servi pour nuire à d’autres utilisateurs de WhatsApp, passe par la fonction d’appel téléphonique du programme. C’est par ce biais que le logiciel espion est déployé. Son nom ? Pegasus, fait savoir le Financial Times. Il s’agit d’un outil d’espionnage tristement célèbre : il avait déjà fait parler de lui par le passé, par exemple quand il était utilisé contre des journalistes et des civils au Mexique.

Une fois en place dans le téléphone de la victime, le logiciel malveillant peut tout aussi bien activer en toute discrétion le micro ou la caméra de l’appareil, fouiller dans les SMS et dans la, ou les, boîtes de réception liées au compte, suivre la position géographique du mobile, lire l’agenda, prendre des captures d’écran, scanner le carnet d’adresses et l’historique de navigation et récupérer également diverses données techniques sur le téléphone ou le réseau.

cible pegasus nso

Ce que peut faire Pegasus.

Source : Citizen Lab

Un puissant outil d’espionnage

Derrière Pegasus se trouve une entreprise israélienne, NSO Group. Si en principe, seule une utilisation légale est acceptée, les médias ont documenté son utilisation par des États à des fins de surveillance. En Arabie saoudite par exemple, il a servi dans l’affaire de Jamal Khashoggi, ce journaliste assassiné dans un consulat. D’autres régimes autoritaires ou dictatoriaux s’en servent également.

Selon Citizen Lab, on trouverait des traces de Pegasus aux États-Unis, Canada, France, Royaume-Uni, Pays-Bas, Suisse, Grèce ou encore au Pologne. On le trouverait également dans tous les pays du Maghreb, au proche et au Moyen-Orient, en Afrique, dans le sous-continent indien et dans quelques ex-pays de l’URSS. 45 pays sont comptabilisés en tout.

Jamal Khashoggi

Jamal Khashoggi.

Source : POMED

« Cette attaque a toutes les caractéristiques d’une entreprise privée connue pour travailler avec les gouvernements afin de fournir des logiciels espions qui prendrait en charge les fonctions des systèmes d’exploitation de téléphonie mobile », a déclaré WhatsApp dans un communiqué fourni au Financial Times. Outre l’application mobile en elle-même, il est aussi recommandé de mettre à jour son OS mobile.

Les attaques conduites dans le cadre de Pegasus visent des cibles très spécifiques, qui sont considérées de valeur par celles et ceux qui mettent en œuvre un tel logiciel. Il n’en demeure pas moins qu’avec une communauté large de 1,5 milliard d’utilisateurs dans le monde, une telle faille constitue un risque systémique qu’il était nécessaire de résoudre.

(mise à jour avec l’intervention de la CNIL irlandaise)


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !