"Pourquoi WhatsApp ne sera jamais sécurisé" : quand le fondateur de Telegram revient sur la découverte du spyware !

Le 13 Mai 2019, Facebook mettait en lumière une faille sécuritaire au sein de WhatsApp - entreprise acquise depuis le 19 Février 2014 - permettant ainsi d’exécuter du code à distance par une personne malveillante.

 

 

En effet, cette vulnérabilité (assignée CVE-2019-3568) exploitait le dépassement de tampon (ou BOF : Buffer OverFlow), permettant ainsi, à travers les périphériques audios (microphone, haut-parleurs) du smartphone, en finalité, d'espionner l'utilisateur à son insu. L'amorce de ce spyware reposait sur un appel vers la victime (qu'elle décroche ou non) et concernait les versions Android "classiques" (jusqu'à la version 2.19.134 incluse), "business" (jusqu'à la version 2.19.44 incluse) mais aussi WhatsApp pour iOS "classique" et "business" (jusqu'aux versions 2.19.51 incluses) ; Windows Phone (jusqu'à la version 2.18.348 incluse) et Tizen (jusqu'à la version 2.18.15 incluse) n'ont, également, pas été épargnés.

Selon The Financial Times, il s'agirait d'un spyware nommé "Pegasus" développé par NSO Group, une firme Israëlienne spécialisée dans la prestation de solutions de renseignements : "cette attaque porte la signature d’une entreprise privée connue pour collaborer avec les gouvernements dans le but de leur fournir des spyware auxquels on attribue la capacité de contrôler les fonctionnalités des systèmes d’exploitation mobiles", selon un porte-parole de WhatsApp. Selon les propos rapportés par CNN, NSO Group démentirait être à l'initiative d'une telle attaque ou, du moins, n'aura pas approuvé officiellement une telle dérive : "En aucun cas, le NSO ne pourrait être impliqué dans l'utilisation ou l'identification ciblée de sa technologie, qui est uniquement gérée par des organisations dédiées et des agences de renseignements".

 

Pavel Durov,
fondateur de Telegram.

 

Depuis, WhatsApp a été, dans la foulée, mise à jour mais certains en ont profité pour souligner les aspects peu reluisants de l'application mobile, comme Pavel Durov : "Chaque fois que WhatsApp doit réparer une vulnérabilité critique dans son application, une nouvelle semble apparaître à sa place [...] du cryptage zéro à ses débuts vers une succession de problèmes de sécurité étrangement adaptés à la surveillance. Rétrospectivement, il n’y a pas eu un seul jour dans l'histoire de WhatsApp où ce service était sécurisé. C’est pour cela que je ne pense pas qu'une simple mise à jour de l’application mobile de WhatsApp la rendra sécuritaire pour quiconque. Pour que WhatsApp devienne un service orienté sur la confidentialité, il doit prendre le risque de perdre des marchés entiers et d'entrer en conflit avec les autorités de leur pays d'origine". Une critique assez acerbe pour le fondateur de l'application de messagerie Telegram dont cette dernière, déployée en 2013 venait ouvrir un nouveau chapître du genre alors que celui de VKontakte, présenté comme la version Russe de Facebook, se fermait à son créateur en 2014,  pour causes de divergences d'opinions politiques à l'égard du Gouvernement Russe (Poutine) qui lui réclamait depuis 2011 les données d'opposants politiques... Une mésentente qui perdure à nouveau avec Telegram lorsqu'en 2018 la Justice Russe bloque l'application au sein du pays pour refus, encore une fois, d'avoir donner des informations liées à certains comptes-utilisateurs, par l'entremise de clés pour déchiffrer ainsi les messages obtenus par les services de renseignements Russes (FSB, ex-KGB)... A suivre !

 

Source : Telegra.ph - 15 Mai 2019 - Lettre ouverte : critique de WhatsApp (spyware Pegasus).