La vulnérabilité « zéro-clic » de WhatsApp suscite des inquiétudes sur Android
Des chercheurs en cybersécurité ont découvert une vulnérabilité qui pourrait permettre à WhatsApp de télécharger automatiquement des fichiers multimédias sur les appareils Android, ouvrant ainsi la porte à l’exploitation de médias apparemment inoffensifs envoyés à des groupes nouvellement créés. Le risque est que l’attaque potentielle soit menée sans aucune interaction de la part de l’utilisateur, ce qui remet en question la sécurité de la messagerie au sein de certains groupes.
Comment la vulnérabilité fonctionne-t-elle au sein des groupes ?
Le problème est lié à la manière dont WhatsApp fonctionne avec les discussions de groupe sur Android. Lorsqu’un utilisateur est ajouté à un groupe nouvellement créé, l’application peut commencer à télécharger automatiquement sur son appareil des fichiers multimédias envoyés à ce groupe. Dans certains scénarios, un fichier spécialement conçu peut devenir un point d’entrée pour une attaque, même si l’utilisateur ne clique pas dessus ou ne l’ouvre pas, car la simple réception peut suffire à lancer un exploit en fonction de la façon dont le fichier est configuré et de la manière dont il est traité dans le système.
Que dit le projet zéro et quelles sont les limites de l’exploitation ?
La vulnérabilité a été signalée par Project Zero, une équipe de chercheurs de Google spécialisée dans la détection des vulnérabilités à haut risque dans les applications les plus répandues. Selon les documents publiés, l’exploit est basé sur un modèle « zéro-clic », ce qui signifie que la victime n’effectue aucune action : Il suffit d’un fichier malveillant pour lancer l’attaque. Les analyses suggèrent que ce scénario est plus proche d’une attaque ciblée, car l’attaquant a généralement besoin de connaître au moins un contact de la victime pour créer un groupe apparemment fiable et envoyer des médias par son intermédiaire. Si cette exigence peut limiter les attaques aléatoires et généralisées, elle ne minimise pas le risque pour les comptes exposés, les personnalités publiques ou les utilisateurs disposant de vastes réseaux.
Mises à jour et réglages qui minimisent les risques
WhatsApp a indiqué qu’il apporterait des ajustements techniques à ses serveurs d’ici à la fin de 2025, mais les chercheurs estiment que cela pourrait ne pas suffire et qu’un remède plus complet est encore nécessaire. En attendant qu’un correctif permanent soit disponible, il est possible de minimiser l’exposition en prenant des mesures pratiques telles que la désactivation du téléchargement automatique de photos, de vidéos, de documents et de fichiers audio, afin qu’aucun support ne soit enregistré sur l’appareil sans l’intervention de l’utilisateur. Il est également conseillé de limiter les personnes qui peuvent vous ajouter à des groupes via les paramètres de confidentialité, de sorte que seuls les contacts de confiance puissent vous ajouter. Une autre mesure utile consiste à désactiver l’enregistrement automatique des médias dans la galerie du téléphone, afin de conserver les fichiers dans l’application et de minimiser la probabilité qu’ils soient traités par d’autres composants du système. La mise à jour de WhatsApp et d’Android reste essentielle, car les correctifs de sécurité sont progressivement déployés et l’espace d’exploitation se réduit avec le temps.
