Une vulnérabilité de WhatsApp a permis à des pirates d’installer à distance des logiciels espions sur des téléphones, simplement en les appelant.
Une vulnérabilité découverte dans l’application de messagerie WhatsApp de Facebook est en train d’être exploitée pour injecter des logiciels espions sur les téléphones Android et iOS en appelant simplement la cible. Les logiciels espions, développés par le groupe de sécurité NSO israélien, peuvent être installés sans laisser de trace et sans que la cible ne réponde à l’appel, selon des chercheurs en sécurité. L’information a d’ailleurs été confirmée par WhatsApp.
Une fois installé, le logiciel espion peut activer la caméra et le micro d’un téléphone, analyser les e-mails et les messages et collecter les données de localisation de l’utilisateur. WhatsApp exhorte ses 1,5 milliard d’utilisateurs mondiaux à mettre immédiatement à jour l’application pour fermer le trou de la sécurité.
«WhatsApp encourage les utilisateurs à mettre à jour leur dernière version de notre application et à maintenir leur système d’exploitation mobile à jour afin de se protéger contre les éventuels exploits ciblés visant à compromettre les informations stockées sur les appareils mobiles», a déclaré WhatsApp dans un communiqué.
La vulnérabilité découverte début mai a été prise pour cible dimanche dernier quand un avocat britannique spécialiste des droits de l’homme a été attaqué par le programme phare de NSO, le programme Pegasus, selon des chercheurs de Citizens Lab. L’attaque a été bloquée par WhatsApp. WhatsApp étudie la situation mais est jusqu’à présent incapable d’estimer le nombre de téléphones ciblés avec succès par l’exploit, a déclaré une source au Tal.
« Cette attaque a toutes les caractéristiques d’une entreprise privée connue pour travailler avec les gouvernements afin de fournir des logiciels espions qui auraient repris les fonctions des systèmes d’exploitation pour téléphones mobiles », a déclaré WhatsApp dans un autre communiqué. «Nous avons informé plusieurs organisations de défense des droits de l’homme de partager les informations possibles et de travailler avec elles pour informer la société civile.»
NSO affirme vendre Pegasus aux gouvernements et aux organismes chargés de l’application de la loi pour lutter contre le terrorisme et la criminalité. Cela n’empêche toutefois pas les pays, les organisations et les individus d’utiliser les logiciels espions de la société sans se laisser décourager par les préoccupations relatives aux droits de l’homme. En 2016, les logiciels espions de la NSO ont été impliqués dans l’attaque du militant des droits de l’homme émirati, Ahmed Mansoor. En 2018, les logiciels espions de la NSO étaient destinés à Carmen Aristegui, journaliste de télévision renommée, et à 11 autres personnes, alors qu’ils enquêtaient sur un scandale impliquant le président mexicain.
Les chercheurs affirment que les puissants logiciels espions de la NSO ont été utilisés par 45 pays au maximum dans la persécution des dissidents, des journalistes et d’autres civils innocents.