La messagerie WhatsApp infectée par un logiciel espion

PARIS — WhatsApp, l’application de messagerie qui a notamment fondé son immense popularité sur sa bonne réputation en matière de sécurité, a admis mardi avoir été infectée par un logiciel espion, un déboire de plus pour sa maison-mère Facebook.

Une faille sécuritaire - dévoilée par le Financial Times, et résorbée dans la dernière mise à jour de WhatsApp - a permis à des pirates informatiques d’insérer un logiciel malveillant sur des téléphones en appelant les usagers de l’application, utilisée par 1,5 milliard de personnes dans le monde.

En Europe, WhatsApp a informé le régulateur irlandais d’une «sérieuse faille de sécurité», et averti les autorités américaines et des ONG du problème, sans donner toutefois de chiffres sur le nombre d’utilisateurs concernés ou visés.

Le Financial Times cite un vendeur de logiciels d’espionnage affirmant que ce programme avait été mis au point par une société israélienne bien connue des services de renseignement de différents pays, NSO Group, accusée d’aider des gouvernements du Moyen-Orient au Mexique à épier des militants et des journalistes.

WhatsApp a découvert début mai l’attaque informatique, qui vise aussi bien des appareils Android que des iPhones d’Apple, entre autres, et a trouvé ensuite un remède.

«Cette vulnérabilité est majeure puisqu’elle permet une prise de contrôle totale de l’équipement sous-jacent», explique Loïc Guézo, secrétaire général du Clusif (Club de la sécurité de l’information français).

«Il faut imaginer qu’on peut utiliser toutes les ressources de votre téléphone sans témoin d’activité de type voyant rouge», ajoute-t-il.

Potentiellement, les attaquants ont eu accès au contenu des smartphones infectés (contacts, messages, photos...), et ils ont pu installer des logiciels pour écouter (ou visualiser) l’environnement des propriétaires de ces appareils, sans qu’ils s’en rendent compte.

Réputation

Dans un communiqué envoyé à l’AFP, un porte-parole de Whatsapp appelle les usagers à «télécharger la dernière version de notre application, et à mettre régulièrement à jour celle du système d’exploitation de leur téléphone».

Rachetée par Facebook en 2014 pour 22 milliards de dollars, la messagerie a construit sa bonne réputation sur la sécurité et de protection des données, avec cette promesse que peut lire tout usager sur son application: «Vos messages et appels sont protégés par le chiffrement de bout en bout, ce qui signifie que ni WhatsApp ni des tierces parties ne peuvent les lire ou les écouter».

«C’est un coup très très mauvais pour WhatsApp, mais ils ont réagi très vite», estime Loïx Guézo, avant de rappeler qu’aucun système n’est inattaquable.

C’est un déboire de plus pour Facebook, la maison mère de WhatsApp, qui fait l’objet de scandales en cascades sur ses pratiques en matière de respect des données personnelles.

Le président de Facebook Mark Zuckerberg à San Jose, en Californie, le 30 avril dernier

«Mine d’or» 

Le logiciel espion qui a visé la messagerie est sophistiqué et «n’a pu être utilisé que par des acteurs extrêmement déterminés», selon WhatsApp, qui assure qu’un «nombre limité d’utilisateurs ont été ciblés».

D’après leurs premières enquêtes, «cette attaque a toutes les empreintes d’une entreprise qui travaille avec de nombreux gouvernements dans le monde», a ajouté la société sans nommer l’entreprise en question.

Des chercheurs en sécurité informatique ont estimé que le programme informatique malveillant présentait des similarités avec d’autres technologies développées par NSO, selon le New York Times.

La firme israélienne a de son côté réagi dans un communiqué en affirmant que sa technologie est «commercialisée par l’intermédiaire de licences à des gouvernements dans le seul objectif de combattre la criminalité et le terrorisme».

NSO, basée à Herzliya, au nord de Tel-Aviv, dans la «Silicon Valley» israélienne, a notamment conçu la plateforme Pegasus, qui donne à ses clients l’accès à diverses fonctionnalités des appareils piratés.

«Leur coeur de métier, ce sont les portes d’entrée et les systèmes d’interception qu’ils installent ensuite», explique Loïc Guézo. Cette faille constituait une «porte d’entrée», et, s’il s’agit bien de NSO, «ils avaient une mine d’or entre les mains qui vient de disparaître».

Il rappelle cependant que maintenant que la vulnérabilité est connue, «elle peut potentiellement être utilisée par des criminels de base», chez les utilisateurs qui n’ont pas mis à jour leur application.

+

D’AUTRES SCANDALES DE SÉCURITÉ INFORMATIQUE

L’exploitation d’une faille de sécurité reconnue mardi par la messagerie WhatsApp s’inscrit parmi les cyberattaques les plus spectaculaires de ces dernières années en matière de données personnelles.

La filiale de Facebook, qui compte près de 1,5 milliard d’utilisateurs, a été la cible d’un logiciel espion exploitant début mai une brèche corrigée depuis.

Rappel des précédents scandales de piratage:

Yahoo! dans la tourmente

Yahoo! est touché en 2013 par la cyberattaque la plus importante de l’histoire. L’ensemble de ses trois milliards de comptes utilisateurs sont affectés.

Le gendarme américain de la Bourse inflige en 2018 une amende de 35 millions de dollars à Altaba (ex-Yahoo!) pour avoir dissimulé l’attaque, révélée en 2016 et revue à la hausse en 2017.

Un milliard de mots de passe

La firme de sécurité informatique Hold Security affirme en 2014 que des pirates russes se sont emparés de 1,2 milliard de mots de passe sur 420.000 sites internet dans le monde, des plus grandes enseignes à la plus petite page personnelle.

Hold Security estime que ce groupe de pirates, surnommé CyberVor, a pu avoir accès à 500 millions de comptes courriel.

Intrusion chez Marriott

Le géant mondial de l’hôtellerie Marriott signale en novembre 2018 le piratage d’une base de données pouvant contenir les informations concernant jusqu’à 383 millions de clients, dont 5 millions numéros de passeports et moins de 2.000 numéros de cartes de crédits directement exposés.

Le chef de la diplomatie américaine, Mike Pompeo, accuse la Chine.

Equifax perd tout crédit

En 2017, l’agence de crédit américaine Equifax, qui collecte des données personnelles de consommateurs sollicitant un crédit, révèle le piratage de données sensibles de plus de 147 millions d’Américains, en plus de clients canadiens et britanniques.

La faille avait été identifiée, mais non corrigée, les systèmes de sécurité étaient insuffisants et la fuite révélée à retardement.

Target prise pour cible

La chaîne de distribution américaine Target est victime d’une attaque informatique de grande ampleur en 2013. 70 millions de clients ont pu se faire voler des données personnelles (noms, adresses postales et électroniques, numéros de téléphone) et 40 millions des coordonnées bancaires.

Chantage contre Uber

En 2017, Uber révèle que les données de 57 millions d’utilisateurs à travers le monde, dont celles de 600.000 chauffeurs, ont été piratées fin 2016. Les noms, adresses électroniques et numéros de portables ont été subtilisés, ainsi que les numéros de permis de conduire pour les chauffeurs.

Rapidement informée par les pirates eux-mêmes, la plateforme américaine de réservation de voitures avec chauffeur leur avait donné 100.000 dollars pour qu’ils ne le révèlent pas et qu’ils effacent les données dérobées.

Cette tentative de dissimulation vaut à Uber une amende de 148 millions de dollars aux États-Unis et deux condamnations aux Pays-Bas et au Royaume-Uni.

Ashley Madison: le plus chaud

En 2015, des pirates informatiques publient 30 gigaoctets de données clients du site canadien de rencontres adultères Ashley Madison contenant les noms, courriels, voire les préférences sexuelles d’utilisateurs.

Les révélations entraînent le suicide d’inscrits aux États-Unis et au Canada, poussant le patron du site à démissionner. Ashley Madison était déjà en difficultés avant le piratage pour publicité mensongère: le site proposait d’effacer les données d’utilisateurs moyennant 19 dollars, mais ne le faisait pas.

Panique en Corée du Sud

En 2014, plus de deux millions de Sud-Coréens annulent leurs moyens de paiement électronique de peur de voir leur compte bancaire «siphonné», après la révélation du vol des données de 20 millions de cartes de crédit sur plusieurs années.

Un employé d’une société d’étude de solvabilité, le Korea Credit Bureau (KCB), volait les informations personnelles de clients d’entreprises émettrices de cartes de crédit et les vendait à des sociétés de marketing téléphonique.

Facebook au pilori 

Des pirates informatiques profitent en septembre 2018 d’une faille de sécurité pour dérober les données personnelles de 29 millions d’usagers de Facebook.

Les pirates ont accédé à leurs noms, adresses électroniques et numéros de téléphone, voire, pour certains, à leur situation amoureuse ou à leur lieu de résidence.

Cette affaire relance les critiques envers Facebook, après l’utilisation indue par la société Cambridge Analytica de données de quelque 50 millions d’utilisateurs du réseau social.