Depuis un jour ou deux, notre fil d'actualités bourdonne d'avertissements concernant WhatsApp.
Nous avons vu de nombreux rapports liés à deux tweets qui affirmaient l'existence de deux failles de sécurité zero-day dans WhatsApp, donnant leurs identifiants de bogue comme CVE-2022-36934 et CVE-2022-27492.
Un article, apparemment basé sur ces tweets, insistait à bout de souffle non seulement sur le fait qu'il s'agissait de bogues du jour zéro, mais aussi sur le fait qu'ils avaient été découverts en interne et corrigés par l'équipe WhatsApp elle-même.
Par définition, cependant, un zero-day fait référence à un bogue que les attaquants ont découvert et compris comment exploiter avant qu'un correctif ne soit disponible, de sorte qu'il n'y avait aucun jour où même l'administrateur système le plus proactif avec l'attitude la plus progressiste envers les correctifs aurait pu être en avance sur le jeu.
En d'autres termes, l'idée même de déclarer qu'un bogue est un jour zéro (souvent écrit avec juste un chiffre, comme 0 jour(s)) est de persuader les gens que le patch est au moins aussi important que jamais, et peut-être plus important que cela, car installer le patch est plus une question de rattraper les escrocs que de rester devant eux.
Si les développeurs découvrent eux-mêmes un bogue et le corrigent de leur propre chef dans leur prochaine mise à jour, ce n'est pas un jour zéro, car les Good Guys sont arrivés les premiers.
De même, si les chercheurs en sécurité suivent le principe de divulgation responsable, où ils révèlent les détails d'un nouveau bogue à un fournisseur mais acceptent de ne pas publier ces détails pendant une période de temps convenue pour donner au fournisseur le temps de créer un correctif, ce n'est pas un jour zéro.
La fixation d'un délai de divulgation responsable pour la publication d'une description du bogue a deux objectifs, à savoir que le chercheur finit par s'attribuer le mérite du travail, tandis que le fournisseur est empêché de balayer le problème sous le tapis, sachant qu'il sera de toute façon dévoilé. à la fin.
Alors, quelle est la vérité?
WhatsApp est-il actuellement attaqué activement par des cybercriminels ? Est-ce un danger clair et actuel ?
À quel point les utilisateurs de WhatsApp devraient-ils être inquiets ?
En cas de doute, consultez l'avis
Pour autant que nous sachions, les rapports qui circulent actuellement sont basés sur des informations provenant directement du propre 2022 de WhatsApp page d'avis de sécurité, qui dit [2022-09-27T16:17:00Z] :
Avis de sécurité WhatsApp Mises à jour 2022 Mise à jour de septembre CVE-2022-36934 Un débordement d'entier dans WhatsApp pour Android avant la v2.22.16.12, Business pour Android avant la v2.22.16.12, iOS avant la v2.22.16.12, Business pour iOS avant la v2.22.16.12 pouvait entraîner l'exécution de code à distance dans un appel vidéo établi. CVE-2022-27492 Un sous-dépassement d'entier dans WhatsApp pour Android avant la v2.22.16.2, WhatsApp pour iOS v2.22.15.9 aurait pu entraîner l'exécution de code à distance lors de la réception d'un fichier vidéo spécialement conçu.
Les deux bogues sont répertoriés comme pouvant conduire à exécution de code à distance, ou RCE en abrégé, ce qui signifie que les données piégées pourraient forcer l'application à planter, et qu'un attaquant qualifié pourrait être en mesure de truquer les circonstances de l'accident pour déclencher un comportement non autorisé en cours de route.
Généralement, lorsqu'un RCE est impliqué, ce "comportement non autorisé" signifie l'exécution d'un code de programme malveillant, ou malware, pour subvertir et prendre une certaine forme de contrôle à distance sur votre appareil.
D'après les descriptions, nous supposons que le premier bogue nécessitait un appel connecté avant de pouvoir être déclenché, tandis que le deuxième bogue sonne comme s'il pouvait être déclenché à d'autres moments, par exemple lors de la lecture d'un message ou de la visualisation d'un fichier déjà téléchargé sur votre appareil. .
Les applications mobiles sont généralement réglementées beaucoup plus strictement par le système d'exploitation que les applications sur les ordinateurs portables ou les serveurs, où les fichiers locaux sont généralement accessibles et généralement partagés entre plusieurs programmes.
Ceci, à son tour, signifie que la compromission d'une seule application mobile présente généralement moins de risques qu'une attaque de malware similaire sur votre ordinateur portable.
Sur votre ordinateur portable, par exemple, votre lecteur de podcast peut probablement jeter un coup d'œil à vos documents par défaut, même si aucun d'entre eux n'est un fichier audio, et votre programme photo peut probablement se déplacer dans votre dossier de feuille de calcul (et vice versa).
Sur votre appareil mobile, cependant, il existe généralement une séparation beaucoup plus stricte entre les applications, de sorte que, par défaut au moins, votre lecteur de podcast ne peut pas voir les documents, votre tableur ne peut pas parcourir vos photos et votre application photo ne peut pas voir des fichiers audio ou des documents.
Cependant, même l'accès à une seule application "sandbox" et à ses données peut être tout ce qu'un attaquant veut ou a besoin, surtout si cette application est celle que vous utilisez pour communiquer en toute sécurité avec vos collègues, amis et famille, comme WhatsApp.
Les logiciels malveillants WhatsApp qui pourraient lire vos messages passés, ou même simplement votre liste de contacts, et rien d'autre, pourraient fournir un trésor de données aux criminels en ligne, surtout si leur objectif est d'en savoir plus sur vous et votre entreprise afin de vendre cela informations privilégiées sur d'autres escrocs sur le dark web.
Un bogue logiciel qui ouvre des failles de cybersécurité est connu sous le nom de vulnérabilité, et toute attaque qui utilise concrètement une vulnérabilité spécifique est connue sous le nom de exploiter.
Et toute vulnérabilité connue dans WhatsApp qui pourrait être exploitable à des fins d'espionnage vaut la peine d'être corrigée dès que possible, même si personne ne trouve jamais un exploit fonctionnel pour voler des données ou implanter des logiciels malveillants.
(Toutes les vulnérabilités ne finissent pas par être exploitables pour RCE - certains bugs s'avèrent suffisamment capricieux que même s'ils peuvent être déclenchés de manière fiable pour provoquer un crash, ou déni de service, ils ne peuvent pas être apprivoisés assez bien pour reprendre complètement l'application en panne.)
Que faire?
La bonne nouvelle ici est que les bogues répertoriés ici ont apparemment été corrigés il y a près d'un mois, même si les derniers rapports que nous avons vus impliquent que ces failles représentent un danger clair et actuel pour les utilisateurs de WhatsApp.
Comme le souligne la page d'avis de WhatsApp, ces deux trous dits "zero-day" sont corrigés dans toutes les versions de l'application, pour Android et iOS, avec des numéros de version. 2.22.16.12 ou plus tard.
Selon l'App Store d'Apple, la version actuelle de WhatsApp pour iOS (versions Messenger et Business) est déjà 2.22.19.78, avec cinq mises à jour intermédiaires publiées depuis le premier correctif qui a corrigé les bogues susmentionnés, qui remonte déjà à un mois.
Sur Google Play, WhatsApp est déjà à la hauteur 2.22.19.76 (les versions ne correspondent pas toujours exactement entre les différents systèmes d'exploitation, mais sont souvent proches).
En d'autres termes, si vous avez configuré votre appareil pour qu'il se mette à jour automatiquement, vous devriez avoir été corrigé contre ces menaces WhatsApp depuis environ un mois déjà.
Pour vérifier les applications que vous avez installées, leur date de dernière mise à jour et les détails de leur version, ouvrez le App Store application sur iOS, ou Play Store sur Android.
Appuyez sur l'icône de votre compte pour accéder à la liste des applications que vous avez installées sur votre appareil, y compris les détails de leur dernière mise à jour et le numéro de version actuel que vous avez.
