Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 qui pourrait permettre \u00e0 WhatsApp de t\u00e9l\u00e9charger automatiquement des fichiers multim\u00e9dias sur les appareils Android, ouvrant ainsi la porte \u00e0 l’exploitation de m\u00e9dias apparemment inoffensifs envoy\u00e9s \u00e0 des groupes nouvellement cr\u00e9\u00e9s. Le risque est que l’attaque potentielle soit men\u00e9e sans aucune interaction de la part de l’utilisateur, ce qui remet en question la s\u00e9curit\u00e9 de la messagerie au sein de certains groupes. <\/p>\n\n\n\n
Le probl\u00e8me est li\u00e9 \u00e0 la mani\u00e8re dont WhatsApp fonctionne avec les discussions de groupe sur Android. Lorsqu’un utilisateur est ajout\u00e9 \u00e0 un groupe nouvellement cr\u00e9\u00e9, l’application peut commencer \u00e0 t\u00e9l\u00e9charger automatiquement sur son appareil des fichiers multim\u00e9dias envoy\u00e9s \u00e0 ce groupe. Dans certains sc\u00e9narios, un fichier sp\u00e9cialement con\u00e7u peut devenir un point d’entr\u00e9e pour une attaque, m\u00eame si l’utilisateur ne clique pas dessus ou ne l’ouvre pas, car la simple r\u00e9ception peut suffire \u00e0 lancer un exploit en fonction de la fa\u00e7on dont le fichier est configur\u00e9 et de la mani\u00e8re dont il est trait\u00e9 dans le syst\u00e8me. <\/p>\n\n\n\n
La vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 signal\u00e9e par Project Zero, une \u00e9quipe de chercheurs de Google sp\u00e9cialis\u00e9e dans la d\u00e9tection des vuln\u00e9rabilit\u00e9s \u00e0 haut risque dans les applications les plus r\u00e9pandues. Selon les documents publi\u00e9s, l’exploit est bas\u00e9 sur un mod\u00e8le \u00ab\u00a0z\u00e9ro-clic\u00a0\u00bb, ce qui signifie que la victime n’effectue aucune action : Il suffit d’un fichier malveillant pour lancer l’attaque. Les analyses sugg\u00e8rent que ce sc\u00e9nario est plus proche d’une attaque cibl\u00e9e, car l’attaquant a g\u00e9n\u00e9ralement besoin de conna\u00eetre au moins un contact de la victime pour cr\u00e9er un groupe apparemment fiable et envoyer des m\u00e9dias par son interm\u00e9diaire. Si cette exigence peut limiter les attaques al\u00e9atoires et g\u00e9n\u00e9ralis\u00e9es, elle ne minimise pas le risque pour les comptes expos\u00e9s, les personnalit\u00e9s publiques ou les utilisateurs disposant de vastes r\u00e9seaux. <\/p>\n\n\n\n
WhatsApp a indiqu\u00e9 qu’il apporterait des ajustements techniques \u00e0 ses serveurs d’ici \u00e0 la fin de 2025, mais les chercheurs estiment que cela pourrait ne pas suffire et qu’un rem\u00e8de plus complet est encore n\u00e9cessaire. En attendant qu’un correctif permanent soit disponible, il est possible de minimiser l’exposition en prenant des mesures pratiques telles que la d\u00e9sactivation du t\u00e9l\u00e9chargement automatique de photos, de vid\u00e9os, de documents et de fichiers audio, afin qu’aucun support ne soit enregistr\u00e9 sur l’appareil sans l’intervention de l’utilisateur. Il est \u00e9galement conseill\u00e9 de limiter les personnes qui peuvent vous ajouter \u00e0 des groupes via les param\u00e8tres de confidentialit\u00e9, de sorte que seuls les contacts de confiance puissent vous ajouter. Une autre mesure utile consiste \u00e0 d\u00e9sactiver l’enregistrement automatique des m\u00e9dias dans la galerie du t\u00e9l\u00e9phone, afin de conserver les fichiers dans l’application et de minimiser la probabilit\u00e9 qu’ils soient trait\u00e9s par d’autres composants du syst\u00e8me. La mise \u00e0 jour de WhatsApp et d’Android reste essentielle, car les correctifs de s\u00e9curit\u00e9 sont progressivement d\u00e9ploy\u00e9s et l’espace d’exploitation se r\u00e9duit avec le temps. <\/p>\n","protected":false},"excerpt":{"rendered":"
Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 qui pourrait permettre \u00e0 WhatsApp de t\u00e9l\u00e9charger automatiquement des fichiers multim\u00e9dias sur les appareils Android, ouvrant ainsi la porte \u00e0 l’exploitation de m\u00e9dias apparemment inoffensifs envoy\u00e9s \u00e0 des groupes nouvellement cr\u00e9\u00e9s. Le risque est que l’attaque potentielle soit men\u00e9e sans aucune interaction de la part de l’utilisateur, …<\/p>\n","protected":false},"author":2,"featured_media":9640,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[51],"tags":[],"class_list":["post-9642","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites-technologiques"],"_links":{"self":[{"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/posts\/9642","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/comments?post=9642"}],"version-history":[{"count":0,"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/posts\/9642\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/media\/9640"}],"wp:attachment":[{"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/media?parent=9642"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/categories?post=9642"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/tags?post=9642"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}