Natalie Silvanovich, une experte en sécurité informatique travaillant chez Google au sein de l’équipe Project Zero, a découvert une faille affectant le service de messagerie populaire WhatsApp le 31 août et l’a signalé à Facebook, maison mère de WhatsApp. Pour être plus précis, la faille de sécurité a été localisée dans le protocole RTP, utilisé lors des appels vidéo. Selon le rapport de Silvanovich, le bogue est déclenché lorsqu'un utilisateur reçoit un paquet RTP corrompu, ce qui déclenche l'erreur de corruption et provoque le plantage de l'application. En pratique, le paquet corrompu qui déclenche le crash peut être envoyé via un simple appel vidéo. « Ce problème peut survenir lorsqu'un utilisateur de WhatsApp accepte un appel d'un homologue malveillant », a expliqué Silvanovich. « Cela concerne à la fois les clients Android et iPhone ». Silvanovich n'a pas précisé si d'autres actions (telles que l'exécution de code à distance) seraient possibles, mais la faille était suffisamment grave pour attirer l'attention de son collègue chercheur chez Google, Tavis Ormandy. Bien qu'il ne soit pas établi que le plantage de l'application provoqué par ledit paquet puisse être utilisé afin d'exécuter du code à distance, le risque existe bel et bien et a d'ailleurs été qualifié de « gros problème » par ce second chercheur de Google Project Zero : « le simple fait de répondre à un appel provenant d’un attaquant pouvait complètement compromettre WhatsApp », a-t-il résumé.

#Bug #hack #watsapp