Symantec, l’éditeur du logiciel antivirus Norton, révèle qu’il est possible de voler et de modifier des fichiers échangés sur les applications de messagerie instantanée WhatsApp et Telegram, à l’insu de leurs destinataires.

A quoi bon utiliser une application de messagerie instantanée cryptée, si les fichiers photos, audios et vidéos échangés sur celle-ci ne peuvent pas être transférés en toute sécurité?

C’est la question que pose en substance le dernier rapport publié par Symantec (l’éditeur du logiciel antivirus Norton) à propos des applications de messagerie instantanée WhatsApp et Telegram.

L’étude de Symantec met en évidence l’existence d’une “vulnérabilité” (baptisée “media file jacking”) permettant à des esprits malveillants sur WhatsApp et Telegram de “manipuler des informations sensibles telles que des photos et des vidéos personnelles, des documents d’entreprise, des factures et des mémos vocaux.”

WhatsApp et Telegram sous Androïd

“Les attaquants pourraient tirer parti des relations de confiance existant entre un expéditeur et un destinataire lors de l’utilisation de ces applications de messagerie instantanée à des fins personnelles ou pour faire des ravages”, explique Symantec dans un communiqué.

Sont concernées les versions Androïd de WhatsApp et de Telegram.

Sur WhatsApp, la “vulnérabilité” constatée  existerait par défaut. Sur Telegram, elle serait exploitable si la fonctionnalité « Save to Gallery » (enregistrer dans la galerie) est activée.

Pour dérober et pour, in fine, modifier telle ou telle information, nul besoin pour les attaquants malveillants d’essayer de casser le chiffrement de WhatsApp ou de Telegram.

La méthode est beaucoup plus simple et beaucoup plus pernicieuse.

Stockage externe

La “vulnérabilité” se situe au niveau du stockage externe de l’appareil utilisé, et c’est là que les fichiers peuvent être interceptés et modifiés avant d’être transmis à leur destinataire final.

En pratique, “les applications Android peuvent stocker des fichiers et des données dans deux emplacements de stockage: stockage interne et externe”, explique Symantec.

“Les fichiers enregistrés dans la mémoire interne ne sont accessibles que par l’application elle-même, ce qui signifie que les autres applications ne peuvent pas y accéder.”

Mais “les fichiers enregistrés dans un répertoire public de stockage externe sont lisibles / inscriptibles, de sorte qu’ils peuvent être modifiés par d’autres applications (des logiciels espions déjà embarqués sur l’appareil) ou des utilisateurs indépendants de la volonté de l’application”, détaille Symantec.

Comptes frauduleux

Quels sont les risques? Selon Zataz.com, site d’information spécialisé dans le traitement de la délinquance informatique, l’exploitation de la vulnérabilité découverte par Symantec, pourrait servir à des “prises en main de paiements. Un (attaquant) malveillant pourrait se servir d’une facture envoyée par un fournisseur à un client. Mission, amener le client à effectuer un paiement sur un compte frauduleux. Usurpation de message audio en utilisant la reconstruction vocale via une technologie d’apprentissage en profondeur. Un attaquant pourrait modifier un message audio pour son bénéfice personnel ou bien pire.”

Sur Telegram, “les administrateurs utilisent le concept de «canaux» pour diffuser des messages à un nombre illimité d’abonnés qui regardent le contenu publié. Un attaquant pourrait modifier les fichiers multimédia qui apparaissent dans un flux de diffusion sécurisé en temps réel pour communiquer de fausses informations”, en conclut Zataz.com

Voilà pour les menaces et les risques encourus.

Bonne nouvelle cependant, selon Symantec, “Google devrait proposer dans Android Q, une fonctionnalité appelée Scoped Storage. Grâce à cette nouvelle fonctionnalité,  les applications devraient disposer de leur propre zone de stockage dans un répertoire spécifique, et ne pourront pas accéder aux fichiers de la partition de stockage entière, sauf autorisation explicite de l’utilisateur”.

Pour pallier les désagréments et les risques de détournements actuels, Symantec conseille aux utilisateurs de WhatsApp et de Telegram sous Androïd de ne pas rester inertes et de désactiver pour WhatsApp l’option « Visibilité des médias » qui enregistre automatiquement les fichiers reçus sur l’application de messagerie.

Et s’agissant de  Telegram, de désactiver l’option d’enregistrement des médias dans la galerie.

[wpedon id= »26112″] Vous avez aimé cette information? Partagez-là avec vos amis, votre réseau ou votre communauté. Cet article vous a été utile? Il vous a rendu service? NewZilla.NET a besoin de VOUS. Vous pouvez nous aider en faisant un don sécurisé à partir de 1 euro. Cela mérite une explication. On vous dit tout ICI. Merci pour votre soutien et pour votre fidélité à NewZilla.NET.

L’entreprise devra verser 5 milliards de dollars d’amende aux Etats-Unis pour avoir mal protéger les données de ses utilisateurs a officiellement annoncé la FTC (Federal Trade Commission) le 24 juillet.

Si l’épisode Cambridge Analytica ne semble pas avoir entamé, au-delà du raisonnable, la confiance des investisseurs dans la capacité de croissance et de développement de Facebook, pour les utilisateurs du réseau social, ce scandale constitue en revanche une prise de conscience majeure des dérives liées à la gestion des données personnelles en ligne.

Pour mémoire, l’entreprise britannique Cambridge Analytica avait récolté sans leur consentement les données de 87 millions d’utilisateurs de Facebook avant de les exploiter à des fins de marketing politique et électoral dans le cadre de la préparation de l’élection présidentielle de 2016 aux Etats-Unis.

Et il ne se passe objectivement pas une semaine sans que l’actualité ne viennent nous éclairer sur les à-peu-près de Facebook en matière de gestion des données personnelles.

Dernier exemple en date, celui de Facebook Kids, une application de messagerie supposément sécurisée. Hélas, un bug, dont l’existence a récemment été révélée, permettait à des inconnus de parler à des enfants sur l’application, avec tous les risques que cela pouvait comporter, souligne Le Monde.

C’est dans ce contexte assez lourd que Facebook vient d’échapper aux Etats-Unis à des poursuites judiciaires, en scellant un accord avec la FTC (Federal Trade Commission), l’autorité de la concurrence américaine.

Le groupe internet devra payer une amende de 5 milliards de dollars (4,43 milliards d’euros) pour avoir mal protéger les données personnelles de ses utilisateurs, ce qui au regard de son chiffre d’affaires actuel ne représente pas grand chose.

Rebecca Kelly Slaughter, l’une des commissaires démocrates de la FTC regrette cet accord et considère que l’immunité accordée aux dirigeants de Facebook est « trop large ».

Mark Zuckerberg et ses collaborateurs ne pourraient pas être inquiétés pour des faits antérieurs à juin 2019, alors que « pas une semaine ne passe sans un nouvel article révélant des agissements potentiellement illégaux », regrette-t-elle.

Comité sur la protection de la vie privée

Selon cet accord, Facebook est tenu de mettre en place de nouvelles mesures de protection et de contrôles indépendants, des conditions d’utilisation et d’accès aux données personnelles des utilisateurs de ses services (Facebook, Messenger, Instagram et WhatsApp).

Un comité sur la protection de la vie privée, constitué de personnalités extérieures à Facebook, sera par ailleurs créé. Ses membres « devront être indépendants et seront nommés par un comité de nomination lui même indépendant »,précise la FTC dans un communiqué.

De son côté, Facebook indique son intention de procéder à des audits internes réguliers, afin de vérifier que ses services respectent la confidentialité et l’intégrité des données personnelles des utilisateurs. 

De même, Facebook devrait prochainement ajouter des fonctionnalités permettant aux utilisateurs de mieux contrôler les accès à leurs données personnelles.