Un bogue dans WhatsApp permettait de contourner la fonction « Vue unique » des photos éphémères. Malgré un correctif mis en place par Meta, des hackers ont rapidement trouvé une parade.
C'est sur la sécurité des données personnelles de ses utilisateurs que WhatsApp a bâti sa réputation, avec notamment le chiffrement de bout en bout pour garantir la confidentialité des échanges ou la possibilité de ne plus afficher son numéro de téléphone. Mais rien n'est infaillible pour les hackers.
Des chercheurs ont découvert que les photos censées s'autodétruire après une seule visualisation pouvaient en réalité être conservées et partagées. Un vilain bogue que Meta a bien tenté de corriger, mais sans succès. En moins d'une semaine, des hackers ont réussi à le contourner, rendant à nouveau possible la récupération des clichés éphémères.
Un bug qui transforme l'éphémère en permanent
Le problème vient d'une mauvaise implémentation technique de la fonction « Vue unique » sur WhatsApp Web. Normalement, cette option permet d'envoyer des photos qui disparaissent après avoir été ouvertes une fois par le destinataire. L'application mobile bloque même les captures d'écran pour éviter tout détournement.
Mais sur la version web, c'est une autre limonade. Le chercheur en sécurité Tal Be'ery a découvert que les restrictions n'étaient pas correctement appliquées.
Concrètement, pour qui s'y connaît un peu, il suffit de modifier un paramètre dans une ligne de code indiquant si l'image devait s'autodétruire ou non. Une fois ce « flag » désactivé, la photo devenait accessible comme n'importe quel autre média envoyé sur WhatsApp. Mais le plus dangereux pour son propriétaire est qu'elle pouvait être sauvegardée et partagée sans aucune limitation.
Le correctif de Meta mis en échec par les hackers
Alertée par Tal Be'ery, Meta s'est empressée de déployer un correctif. Dans un premier temps, pour pallier l'urgence du bogue, il fallait rendre plus difficile le contournement des restrictions sur les messages « Vue unique ». Et il se trouve que ça a fonctionné : les outils permettant d'exploiter la faille ne marchaient plus.
Mais il n'a pas fallu plus d'une semaine à des hackers pour réussir à déjouer les nouvelles mesures mises en place par WhatsApp et rendre à nouveau possible la récupération des photos éphémères.
Retour à la case départ, car comme l'explique Tal Be'ery, les messages « Vue unique » contiennent toujours toutes les informations nécessaires pour les visualiser, y compris dans des environnements qui ne devraient pas pouvoir les afficher. « Tant que Meta ne changera pas cela, le problème semble persister », a-t-il déclaré à nos confrères de The Register.
Des développeurs ont déjà annoncé qu'ils allaient publier de nouvelles extensions pour contourner le code mis à jour de WhatsApp. La situation risque donc de perdurer tant que Meta ne reverra pas en profondeur l'architecture de sa fonction d'autodestruction des messages, bien que la firme de Mark Zuckerberg indique qu'une « refonte plus complète du code » serait « en cours ». Dans cette attente, comme Clubic vous l'avait initialement conseillé, il est recommandé à tous les utilisateurs de ne partager leurs photos éphémères qu'à des personnes de confiance.
Source : The Register
