Le pirate aurait eu besoin d’être membre du groupe cible (WhatsApp autorise jusqu’à 256 utilisateurs par groupe) pour créer le message malveillant impactant le groupe, puis d’utiliser WhatsApp Web et l’outil de débogage de son navigateur web pour modifier des paramètres spécifiques du message, et enfin d’envoyer le texte modifié au groupe. Ce message modifié aurait entraîné une boucle de plantage infinie pour les membres du groupe, leur refusant l’accès à toutes les fonctions de WhatsApp jusqu’à ce qu’ils réinstallent l’application et suppriment le groupe contenant le message malveillant.

Oded Vanunu, Responsable des recherches sur les vulnérabilités des produits chez Check Point, déclare : « Comme WhatsApp est l’un des principaux canaux de communication pour les consommateurs dans le monde entier, les entreprises et les agences gouvernementales, empêcher les gens d’utiliser WhatsApp et supprimer de précieuses informations dans des discussions de groupe est une arme puissante pour les cybercriminels. Tous les utilisateurs de WhatsApp doivent passer à la dernière version de l’application pour se protéger d’une éventuelle attaque. »

Check Point Research a communiqué ses conclusions de manière responsable au programme de bug bounty de WhatsApp le 28 août 2019. WhatsApp a accepté les résultats et a développé un correctif pour résoudre le problème, qui est disponible depuis WhatsApp version 2.19.58. Les utilisateurs doivent l’appliquer manuellement sur leurs appareils. « WhatsApp a réagi rapidement et a déployé de manière responsable des mesures d’atténuation contre l’exploitation de cette vulnérabilité, » ajoute Oded Vanunu.

« WhatsApp apprécie énormément les contributions de la communauté technologique pour nous aider à maintenir une sécurité élevée pour nos utilisateurs, » commente Ehren Kret, Ingénieur logiciel WhatsApp. « Grâce à la communication responsable de Check Point dans le cadre de notre programme de bug bounty, nous avons rapidement résolu ce problème sur l’ensemble des applications WhatsApp à la mi-septembre. Nous avons également récemment intégré de nouveaux contrôles pour empêcher que des utilisateurs ne soient ajoutés à des groupes sans leur consentement, et éviter ainsi toute communication avec des tiers indésirables. »

L’équipe de Check Point Research a découvert la vulnérabilité en inspectant les communications entre WhatsApp et WhatsApp Web, la version web de l’application qui reflète tous les messages envoyés et reçus depuis le téléphone de l’utilisateur. Cela a permis aux chercheurs de voir les paramètres utilisés pour les communications WhatsApp et les manipuler. Cette nouvelle étude s’appuie sur les failles « FakesApp » découvertes par Check Point Research, qui permettent de modifier les messages de discussions de groupe pour diffuser de fausses informations.

WhatsApp possède 1,5 milliard d’utilisateurs et plus d’un milliard de groupes, ce qui en fait l’application de messagerie instantanée la plus populaire au monde. Plus de 65 milliards de messages sont envoyés quotidiennement via WhatsApp.