WhatApp est une application de messagerie sur mobile qui compte des centaines de millions d'utilisateurs. Le service existe aussi en version Web depuis quelques moins et c'est dans cette version qu'une vulnérabilité critique a été découverte. Vulnérabilité qui mettait potentiellement tous ses utilisateurs en danger.

La faille a été découverte le 21 août dernier par Kasif Dekel, un chercheur en sécurité israélien qui travaille pour la société CheckPoint.

La faille a été baptisée "MaliciousCard", car elle permettait l'envoi d'une fiche de contact malicieuse au format vCard. Pour le destinataire , la vCard paraîssait tout à fait normale, mais à son ouverture, le code malicieux inclus était chargé et exécuté, ce qui pouvait aboutir à la prise de contrôle à distance de l'ordinateur attaqué.

Là où le bât blesse douloureusement, c'est que WhatsApp ne faisait aucune vérification sur la vCard.

"Nous étions étonnés de voir que Whatsapp ne réalisait aucune validation du format vCard ni du contenu du fichier. Des attaquants ont pu exploiter cette faille de différentes manières en la dissimulant derrière l’icône vCard" souligne CheckPoint.

WhatsApp a corrigé la vulnérabilité le 27 août, ce que CheckPoint souligne comme étant une réaction rapide et responsable : "L’exploitation massive de cette vulnérabilité pourrait avoir affecté des millions d’utilisateurs. Heureusement, WhatsApp a réagi rapidement et de façon responsable pour déployer une solution initiale en attendant une mise à jour du client".

Des esprits chagrins diront quant à eux qu'il aura quand même fallu six jours pour qu'une faille qui mettait potentiellement en danger des millions d'utilisateur soit corrigée.