Il suffisait d’initier un appel VoIP pour provoquer l’installation de Pegasus, un logiciel d’espionnage particulièrement efficace, utilisé par les gouvernements et les forces de l’ordre dans le monde entier. Une mise à jour de la messagerie est disponible.

Si vous utilisez WhatsApp, mettez à jour votre application le plus rapidement possible. Une faille critique permet en effet de pirater en douce n’importe quel smartphone à distance, qu’il soit sous iOS ou Android, simplement en initiant un appel vocal en VoIP. La personne ciblée n’a même pas besoin de répondre à cet appel.

Et ce n’est pas une simple théorie. Selon The Financial Times, cette brèche a été utilisée pas plus tard que dimanche dernier par un client de l’éditeur israélien NSO pour installer le terrible logiciel d’espionnage Pegasus sur le smartphone d’un défenseur des droits de l’homme britannique. L’attaque a été bloquée par WhatsApp qui a découvert la faille au début du mois de mai et qui, depuis, a déployé un patch au niveau de ses serveurs. La mise à jour du logiciel client de WhatsApp est disponible depuis aujourd’hui.

⚠️L’autorité de protection des données ?? a été informée le 13/05 par #WhatsApp d’une grave vulnérabilité en matière de sécurité sur son application. Elle pourrait permettre à un acteur malveillant d’installer un logiciel non autorisé et d’accéder aux données des utilisateurs ?

— CNIL (@CNIL) 14 mai 2019

On ne sait pas combien de smartphones ont pu être infectés par Pegasus grâce à cette faille. Une fois installé, ce logiciel d’espionnage peut, entre autres, siphonner les e-mails, les SMS et les photos. Il peut également accéder en temps réel au microphone et à la caméra. Le malware a été analysé en 2016 par des chercheurs de CitizenLab et Lookout, après avoir récupéré un exemplaire sur l’iPhone 5s d’Ahmed Mansoor, un défenseur des droits de l’homme émirati. Des recherches de CitizenLab ont également montré que Pegasus a été installé sur l’appareil d’un activiste canado-saoudien et sur au moins 25 smartphones au Mexique, dont des journalistes, des avocats et des politiciens.

WhatsApp a informé le régulateur irlandais d’une « sérieuse faille de sécurité » https://t.co/k9QcHztTLS

— Europe 1 ? (@Europe1) 14 mai 2019

Une faille dans le protocole de signalisation VoIP
Jusqu’alors, le logiciel utilisait une succession de trois failles zero-day pour pirater l’appareil et nécessitait que la cible clique sur un lien HTML. Dans le cas présent, c’est évidemment beaucoup plus simple. On ne connaît pas encore tous les détails techniques de cette faille. Une alerte de sécurité publiée par Facebook indique néanmoins que le bug se situait au niveau de SRTCP (Secure Real Time Control Protocol), le protocole de signalisation utilisé par WhatsApp pour les communications VoIP. L’envoi d’une série de paquets SRTCP spécialement formés permettait, selon Facebook, de provoquer un dépassement de mémoire tampon et, ainsi, d’exécuter du code arbitraire à distance.

Une faille WhatsApp exploitée pour installer des logiciels espions https://t.co/9Y3aFqsIKL #AFP pic.twitter.com/CMv9QvNNBH

— Agence France-Presse (@afpfr) 14 mai 2019

Source : The Financial Times, via The Verge avec 01net