Une vulnérabilité sur WhatsApp permet d'installer un logiciel malveillant sur un téléphone à partir d'un simple appel

Facebook a corrigé le lundi 13 mai une vulnérabilité critique concernant l’application WhatsApp sur tous les supports (iOS, Android, Windows Phone …). Celle-ci permettrait à un attaquant, à partir d’un simple appel passé à la victime et sans qu'il soit nécessaire que celle-ci décroche, d’installer un logiciel malveillant sur son téléphone.

Cette vulnérabilité aurait été découverte et utilisée par la compagnie Israélienne « NSO Group », dont la principale activité est de développer et vendre des armes électroniques destinées à divers armées, groupes de renseignements et agence de sécurité à travers le monde. La société a notamment développé et maintenu à jour le logiciel « Pegasus », un logiciel espion pour téléphone portable.

Parmi les informations récupérées par un tel logiciel malveillant figurent les SMS, emails, messages WhatsApp, détails des contacts, le journal d’appels, la localisation, un accès à la caméra et au microphone. Ainsi, un tel défaut de sécurité aurait été utilisé pour installer Pegasus sur des téléphones ciblés.

Toutes les versions de WhatsApp antérieures à la mise à jour du 13 mai sont concernées. Cette vulnérabilité pourrait ainsi affecter un milliard et demi d’utilisateurs du service. Cependant, bien que le nombre de victimes ne soit pas encore connu, les ingénieurs de WhatsApp ont affirmé que seulement un nombre limité de cibles auraient été victimes du logiciel espion de « NSO Group » à cause de cette vulnérabilité. 

Détails techniques :

CVE-2019-3568 [CVSS V3: 9.8] : Cette vulnérabilité est du type « Dépassement de mémoire (« buffer overflow ») », qui permet à un attaquant d’avoir un accès mémoire normalement inaccessible pour, notamment, injecter du code arbitraire en vue de l’exécuter.

Dans le cas présent, cette vulnérabilité permet à un attaquant de faire une exécution de code à distance en envoyant une série de paquets SRTCP (« Secure Real-time Transport Protocol », un protocole d’échange d’information en direct sécurisé) spécialement conçus à cette fin.

À partir de l’exécution arbitraire de code, il est ainsi possible pour l’attaquant d’installer un logiciel malveillant sur le téléphone cible. Ici, le logiciel malveillant Pegasus était installé à travers une demande d'appel. Une fois installé, le logiciel malveillant supprimait alors cette demande initiale ayant permis son installation.

Informations
+

Risques

  • Exécution de code arbitraire.

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation de la vulnérabilité n'a pour l'instant été diffusé. Cependant, la vulnérabilité a déjà été exploitée.

Composants & versions vulnérables

  • WhatsApp pour Android antérieur la version v2.19.134 ;
  • WhatsApp Business pour Android anterieur à la version v2.19.44 ;
  • WhatsApp pour iOS antérieur à la version v2.19.51 ;
  • WhatsApp Business pour iOS antérieur la version v2.19.51 ;
  • WhatsApp pour Windows Phone antérieur la version v2.18.348 ;
  • WhatsApp pour Tizen antérieur à la version v2.18.15.

CVE

  • CVE-2019-3568

Recommandations
+

Mise en place de correctif de sécurité

  • Une mise à jour obligatoire a été publiée par Facebook le 13 mai 2019 sur les différents supports impactés.

Solution de contournement

  • Interdire l'usage de WhatsApp sur le téléphone.