La société Check Point, le leader mondial de la sécurité, nous fait savoir par mail que l’un de leur chercheur a découvert une faille dans WhatsApp Web, appelée « MaliciousCard ». Grâce à l’envoi d’une simple vCard, la carte de contact WhatsApp, contenant un code malicieux, permet ensuite au « cybercriminel de prendre le contrôle de l’ordinateur de la personne ciblée. »
Cette attaque toucherait des centaines de millions de comptes WhatsApp d’utilisateur qui se connectent depuis une page Web. Sur les 900 millions d’utilisateurs que compte le service de messagerie, 200 millions utiliseraient l’interface Web, donc tout autant de compte qui peuvent être touchés par ce « MaliciousCard ».
Check Point explique que cette faille permettrait aux pirates de tromper les victimes en exécutant du code arbitraire sur leurs machines d’une manière nouvelle et sophistiquée. L’attaque proviendrait d’un vCard d’apparence innocente contenant un code malveillant. Une fois ouvert, le contact présumé se révèle être un fichier exécutable, compromettant davantage ordinateurs en distribuant des bots, ransomware, et autres malwares.
« L’exploitation massive de cette vulnérabilité pourrait avoir affecté des millions d’utilisateurs », ajoute la société.
«Heureusement, WhatsApp a réagi rapidement et de façon responsable pour déployer une atténuation initiale contre l’exploitation de cette question dans tous les clients Web, en attendant une mise à jour du client WhatsApp », a déclaré Oded Vanunu, Security Research Group Manager chez Check Point.
Check Point assure continuer d’être à l’affût des vulnérabilités dans les différentes plateformes logicielles et sur Internet, et se tient prête à divulguer les problèmes dès qu’ils sont découverts, pour apporter la meilleure protection possible aux consommateurs et aux clients contre les menaces de demain.
