WhatsApp de Facebook a déclaré mardi qu’une atteinte à la sécurité de son application de messagerie laissait entrevoir des traces d’une entreprise privée travaillant sur la surveillance et qu’elle avait référé l’incident au ministère de la Justice des États-Unis.
WhatsApp, l’un des outils de messagerie les plus populaires, est utilisé par 1,5 milliard de personnes chaque mois. Il a vanté son haut niveau de sécurité et de confidentialité, les messages sur sa plate-forme étant chiffrés de bout en bout afin que WhatsApp et les tiers ne puissent pas lire ou écouter.
Un porte-parole de WhatsApp a déclaré que l’attaque avait « toutes les caractéristiques d’une société privée connue pour travailler avec les gouvernements pour fournir des logiciels espions capables de s’emparer des systèmes d’exploitation de téléphones mobiles ».
« WhatsApp encourage les utilisateurs à utiliser la dernière version de notre application et à maintenir leur système d’exploitation mobile à jour afin de se protéger contre les éventuels exploits ciblés visant à compromettre les informations stockées sur les appareils mobiles », a déclaré un porte-parole.
Mesures de protection des utilisateurs
« Nous travaillons en permanence avec les partenaires du secteur pour fournir les dernières améliorations en matière de sécurité afin de protéger nos utilisateurs », a-t-il déclaré.
Le porte-parole a déclaré que WhatsApp a immédiatement contacté Citizen Lab et des groupes de défense des droits de l’homme, a rapidement résolu le problème et diffusé un correctif. Il a ajouté que WhatsApp avait également fourni des informations aux responsables américains de l’application de la loi afin de les aider dans leur enquête.
Il a déclaré que la faille avait été découverte alors que « notre équipe apportait des améliorations supplémentaires en matière de sécurité à nos appels vocaux ». Les ingénieurs ont découvert que les personnes ciblées par une infection « pourraient recevoir un ou deux appels d’un numéro qui ne leur était pas familier. Lors du processus d’appel, ce code est envoyé », a déclaré le porte-parole.
« Nous sommes profondément préoccupés par l’utilisation abusive de telles capacités », a déclaré WhatsApp dans un communiqué. WhatsApp n’a pas élaboré plus loin.
« Faille de sécurité grave »
WhatsApp a informé son principal responsable de la réglementation dans l’Union européenne, la Commission irlandaise de la protection des données (DPC), d’une « grave vulnérabilité en matière de sécurité » sur sa plate-forme.
« Le DPC comprend que cette vulnérabilité a peut-être permis à un acteur malveillant d’installer un logiciel non autorisé et d’accéder aux données personnelles sur les appareils sur lesquels WhatsApp est installé », a déclaré le responsable de la sécurité dans un communiqué.
« WhatsApp cherche toujours à savoir si des données d’utilisateur de WhatsApp EU ont été affectées à la suite de cet incident », a déclaré la DPC, ajoutant que WhatsApp l’avait informée de l’incident lundi soir.
Grande majorité non concernée – experts
WhatsApp a déclaré qu’à son avis, seul « un nombre restreint d’utilisateurs ont été ciblés ».
Les experts en cybersécurité ont déclaré que la grande majorité des utilisateurs n’auraient probablement pas été affectés.
Scott Storey, maître de conférences en cybersécurité à l’Université Sheffield Hallam, estime que la plupart des utilisateurs de WhatsApp n’ont pas été affectés, car il semble s’agir de gouvernements ciblant des personnes spécifiques, principalement des défenseurs des droits de l’homme.
« Pour l’utilisateur final moyen, il n’y a pas de quoi s’inquiéter », a-t-il déclaré, ajoutant que WhatsApp avait détecté la vulnérabilité et l’a rapidement corrigée. « Ce n’est pas quelqu’un qui essaie de voler des messages privés ou des détails personnels. »
Storey a déclaré que la divulgation des vulnérabilités est une bonne chose et qu’elle conduirait probablement à ce que d’autres services examinent leur sécurité.
Appel entrant
Plus tôt, le Financial Times avait signalé qu’une vulnérabilité dans WhatsApp permettait aux attaquants d’injecter des logiciels espions sur les téléphones en appelant des cibles à l’aide de la fonction d’appel téléphonique de l’application.
Il a ajouté que les logiciels espions avaient été développés par la société israélienne de cybersurveillance, le groupe NSO, mieux connu pour ses outils de surveillance mobiles, et concernaient à la fois Android et les iPhones. Le FT a déclaré que WhatsApp ne pouvait pas encore donner une estimation du nombre de téléphones ciblés.
Le FT a indiqué que des équipes d’ingénieurs avaient travaillé jour et nuit à San Francisco et à Londres pour remédier à cette vulnérabilité. Le groupe a commencé à diffuser un correctif sur ses serveurs vendredi et a publié un correctif pour les clients lundi.
Interrogé sur le rapport, NSO a déclaré que sa technologie était concédée sous licence à des agences gouvernementales autorisées « dans le seul but de lutter contre le crime et le terrorisme » et qu’elle n’exploitait pas le système lui-même tout en appliquant un processus rigoureux d’octroi de licences et de vérification.
« Nous enquêtons sur toute allégation crédible d’abus et, le cas échéant, prenons des mesures, y compris en arrêtant le système. En aucun cas, l’SNO ne serait impliqué dans l’exploitation ou l’identification de cibles de sa technologie, qui est uniquement gérée par des services de renseignement et d’application de la loi. « , a déclaré la société.
Société de sécurité basée en Israël
Les porte-parole du groupe NSO n’ont pas immédiatement répondu à un e-mail demandant un commentaire.
La révélation ajoute aux questions sur la portée du puissant logiciel espion de la société israélienne, qui peut détourner les smartphones, contrôler leurs caméras et les transformer efficacement en appareils de surveillance de poche.
Les logiciels espions de la NSO ont été retrouvés à plusieurs reprises, utilisés pour pirater des journalistes, des avocats, des défenseurs des droits humains et des dissidents.
Le logiciel espion a notamment été impliqué dans l’assassinat horrible du journaliste saoudien Jamal Khashoggi, démembré dans le consulat d’Arabie Saoudite à Istanbul l’année dernière et dont le corps n’a jamais été retrouvé.
Plusieurs cibles présumées des logiciels espions, dont un ami proche de Khashoggi et plusieurs personnalités de la société civile mexicaine, poursuivent actuellement des poursuites contre NSO devant un tribunal israélien pour piratage.
Lundi, Amnesty International – qui a déclaré l’année dernière qu’un de ses collaborateurs était également visé par les logiciels espions – a annoncé qu’elle s’associerait à une tentative légale de forcer le ministère israélien de la Défense à suspendre la licence d’exportation de la NSO.
Cela rend la découverte de la vulnérabilité particulièrement troublante, car l’une des cibles était un avocat britannique spécialisé dans la défense des droits de l’homme, a déclaré l’avocat.
L’avocat, qui a requis l’anonymat pour des raisons professionnelles, a déclaré avoir reçu plusieurs appels manqués suspects au cours des derniers mois, dont le plus récent de dimanche, quelques heures à peine avant que WhatsApp ne publie la mise à jour destinée aux utilisateurs pour corriger la faille.
Actions sur le marché
Le géant des médias sociaux Facebook a acheté WhatsApp en 2014 pour 19 milliards de dollars.
Le cofondateur de Facebook, Chris Hughes, écrivait la semaine dernière dans le New York Times que son co-fondateur, Mark Zuckerberg, exerçait une influence beaucoup trop grande en contrôlant Facebook, Instagram et WhatsApp, trois plates-formes de communication essentielles, et demandait la dissolution de la société.
Les actions de Facebook ont augmenté de 0,8% à 183,02 $ en transactions pré-marché.
Camille Legaré