WhatsApp a incité ses 1,5 milliard d’utilisateurs à mettre à niveau l’application après que la plate-forme détenue par Facebook ait découvert une vulnérabilité qui permettait à un logiciel espion d’être installé sur les téléphones des utilisateurs via la fonction d’appel de l’application.

Le logiciel espion aurait été mis au point par la société de renseignement israélienne NSO Group, rapporte le Financial Times.

Cette vulnérabilité s’est appuyée sur un bogue de la fonction d’appel audio de WhatsApp, facilitant l’installation de logiciels espions sur le périphérique appelé, que l’appel ait reçu une réponse ou non.

Source Image: Business Standard

WhatsApp a déclaré avoir corrigé la vulnérabilité découverte le mois dernier.

«WhatsApp encourage les utilisateurs à utiliser la dernière version de notre application et à maintenir leur système d’exploitation mobile à jour afin de se protéger contre les éventuels exploits ciblés visant à compromettre les informations stockées sur les appareils mobiles», a annoncé la société dans un communiqué.

Le groupe NSO basé en Israël travaille pour le gouvernement, cherchant à infecter les cibles des enquêtes et à accéder à divers aspects de leurs appareils.

« L’attaque a toutes les caractéristiques d’une entreprise privée qui travaillerait avec les gouvernements pour fournir des logiciels espions qui prend en charge les fonctions des systèmes d’exploitation pour téléphones mobiles », lit-on dans la déclaration de WhatsApp, sans mentionner le groupe NSO.

NSO Group a déclaré au Financial Times: « En aucun cas, NSO ne serait impliqué dans l’exploitation ou l’identification de cibles de sa technologie, qui est uniquement exploitée par des agences de renseignement et des forces de l’ordre ».

« NSO n’utiliserait pas ou ne pourrait pas utiliser sa technologie de son propre chef pour cibler une personne ou une organisation », a ajouté la société.

NSO limite les ventes de son logiciel espion appelé Pegasus aux agences de renseignement et autres. Le logiciel a la capacité de collecter des données intimes à partir d’un périphérique cible.

Selon WhatsApp, il soupçonne qu’un nombre relativement restreint d’utilisateurs ont été ciblés.

« Il s’agit, comme vous pouvez l’imaginer, d’une faille de sécurité extrêmement grave, et il est difficile de réparer la fenêtre pendant laquelle elle était ouverte ou combien de personnes en ont été affectées », rapporte TechCrunch.

Traduction : MIRASTNEWS

Source : the pioneer

WhatsApp se précipitent pour boucher la violation

Spyware injecté dans certains appareils à l’aide de la fonction d’appel téléphonique

«Les logiciels espions développés par la société israélienne de cyber-surveillance pourraient affecter à la fois Android et les iPhone» Picture by Shutterstock

WhatsApp, la populaire application de médias sociaux, a demandé à un pirate d’installer un correctif qui permettait aux pirates d’injecter des logiciels espions sur les smartphones, ce qui leur permettait de lire des messages, de voir les contacts et d’activer l’appareil photo.

La société, détenue par Facebook, a demandé à ses 1,5 milliard d’utilisateurs dans le monde entier de passer immédiatement à la dernière version de l’application pour se protéger des logiciels espions malveillants qui auraient été développés par une société secrète israélienne de logiciels espions appelée NSO Group.

« WhatsApp encourage les utilisateurs à utiliser la dernière version de notre application et à maintenir leur système d’exploitation mobile à jour, afin de se protéger contre les éventuels exploits ciblés visant à compromettre les informations stockées sur les appareils mobiles », a déclaré un porte-parole.

«Nous travaillons constamment avec nos partenaires de l’industrie pour apporter les dernières améliorations en matière de sécurité afin de protéger nos utilisateurs», a ajouté le porte-parole.

La tempête a éclaté au cours du week-end après que le Financial Times basé à Londres a rapporté que la vulnérabilité dans WhatsApp a autorisé les attaquants à injecter des logiciels espions sur les téléphones en appelant les cibles à l’aide de la fonction d’appel téléphonique de l’application.

Il a précisé que les logiciels espions avaient été développés par la société de surveillance électronique israélienne et pourraient affecter à la fois Android et les iPhones.

WhatsApp a déclaré que l’attaque avait toutes les caractéristiques d’une société privée qui collabore avec les gouvernements pour fournir des logiciels espions capables de prendre en charge les fonctions des systèmes d’exploitation pour téléphones mobiles.

«Nous sommes profondément préoccupés par l’abus de telles capacités. Nous avons informé un certain nombre d’organisations de défense des droits de l’homme de partager les informations possibles et de travailler avec elles pour informer la société civile», a déclaré la société.

WhatsApp a détecté sur sa plate-forme un bogue qui autoriserait des acteurs malveillants à installer le logiciel espion sur un smartphone en utilisant un seul appel WhatsApp.

Même si un abonné ne recevait pas l’appel, les pirates pourraient avoir accès à toutes les données du téléphone, y compris les journaux d’appels, les courriels, les messages et les photos. L’appel malveillant disparaît souvent des journaux d’appels WhatsApp. Cela signifie qu’un utilisateur de smartphone n’avait aucun moyen de savoir s’il avait reçu un appel suspect.

Les versions de WhatsApp concernées par le problème sont notamment: WhatsApp pour Android v2.19.134 et les versions antérieures; WhatsApp Business pour Android v2.19.44 et les versions antérieures; WhatsApp pour iOS v2.19.51 et avant; WhatsApp Business pour iOS v2.19.51 et avant; WhatsApp pour Windows Phone v2.18.348 et avant; et WhatsApp pour Tizen v2.18.15 et avant. WhatsApp a découvert le bogue plus tôt ce mois-ci mais ne l’a pas immédiatement révélé puisqu’il travaillait sur une mise à jour pour sécuriser ses serveurs jusqu’à vendredi dernier.

Le correctif de sécurité a été proposé à ses clients lundi.

La société n’a pas révélé le nombre de personnes susceptibles d’avoir été touchées par cette vulnérabilité. L’Inde possède la plus grande base d’utilisateurs WhatsApp au monde avec plus de 200 millions d’utilisateurs.

La société a déclaré avoir ouvert une enquête sur cette affaire et avoir également fourni des informations aux forces de l’ordre des Etats-Unis d’Amérique pour les aider à mener une enquête.

Plusieurs utilisateurs de WhatsApp ont été consternés par la violation de la sécurité de l’application de médias sociaux. La plupart se sont inquiétés du fait que, si une application de chiffrement de bout en bout telle que WhatsApp était si vulnérable, les autres applications qu’elles téléchargent habituellement ne sont pas sécurisées et ne se vantent pas de telles fonctions de sécurité ni pare-feu.

Pavan Duggal, expert en cyber-droit, a déclaré: «Les lois en vigueur en matière de cybersécurité sont assez opaques et ne couvrent pas les atteintes à la vie privée des personnes commises par des acteurs privés. La loi doit être modifiée pour associer les acteurs privés et les médias sociaux au droit à la vie privée.»

En juillet dernier, un panel de haut niveau présidé par le juge B.N. Srikrishna a soumis son rapport sur le projet de loi 2018 sur la protection des données à caractère personnel.

Depuis lors, le gouvernement a été critiqué par des membres du monde des affaires et d’associations telles que l’Association indienne d’Internet et de la téléphonie mobile, NASSCOM et des sociétés de commerce électronique telles qu’Amazon et Walmart au sujet des dispositions du projet de loi.

Traduction : MIRASTNEWS

Source : The Telegraph

Un bogue Twitter a révélé les données de localisation de certains utilisateurs iOS

Twitter a révélé un bogue qui partageait les données de certains utilisateurs iOS avec un partenaire sans nom, même si les utilisateurs ne choisissaient pas de partager des données.

La plate-forme de micro-blogging a annoncé qu’elle « avait collecté et partagé par inadvertance des données de localisation iOS avec l’un de nos partenaires de confiance dans certaines circonstances ».

Le bogue a affecté la base d’utilisateurs iOS de Twitter et ils ont depuis été informés du problème.

« Nous avons confirmé avec notre partenaire que les données de localisation n’avaient pas été conservées et qu’elles n’existaient que depuis peu dans leurs systèmes. Elles ont ensuite été supprimées dans le cadre de leur processus normal », a déclaré Twitter dans un communiqué publié lundi.

Pour les personnes qui utilisaient plus d’un compte sur Twitter pour iOS et qui choisissaient d’utiliser la fonction de localisation précise dans un compte, les données de localisation ont été « accidentellement collectées » lorsqu’ils utilisaient un ou plusieurs autres comptes sur le même appareil pour lequel ils n’avaient pas activé la fonctionnalité de localisation précise.

« En raison d’un bogue dans Twitter pour iOS, nous avons collecté et partagé par inadvertance des données de localisation (au niveau du code postal ou de la ville) », a déclaré l’équipe de support de Twitter dans un tweet.

« Nous avons corrigé ce problème et nous travaillons d’arrache-pied pour que cela ne se reproduise plus. Nous avons également communiqué avec les personnes dont les comptes ont été impactés pour leur faire savoir que le bogue a été corrigé. »

Il est difficile de dire à quel moment ce partage d’emplacement a eu lieu ou pour combien de temps.

Traduction : MIRASTNEWS

Source : the pioneer