La révélation par WhatsApp, propriété de Facebook, d'une faille de sécurité permettant aux pirates d'injecter des logiciels espions sur les smartphones a soulevé de nouvelles inquiétudes quant à la sécurité de l'écosystème mobile.

Voici cinq questions et réponses clés :

Qu'est-il arrivé à WhatsApp?

La faille de sécurité dans l'application de messagerie WhatsApp pourrait permettre à un attaquant d'injecter un logiciel malveillant pour accéder aux smartphones Android ou Apple.

WhatsApp a corrigé la faille cette semaine après avoir été informé que le logiciel espion était utilisé pour traquer les militants des droits humains et les avocats.

Les chercheurs en sécurité pensent que les attaquants ont utilisé le puissant logiciel espion Pegasus du groupe NSO basé en Israël. Selon une récente analyse du logiciel par la société de sécurité Lookout, Pegasus peut "subvertir" la sécurité de l'appareil et "voler la liste de contacts et la position GPS de la victime, ainsi que personnel, Wifi, et les mots de passe du routeur stockés sur l'appareil."

L'infection pourrait prendre racine avec un simple appel via WhatsApp. Pour empirer les choses, les victimes peuvent ne pas savoir que leurs téléphones ont été infectés, car le logiciel malveillant a permis aux attaquants d'effacer l'historique des appels.

Cette livraison était « particulièrement effrayante, " a déclaré le chercheur en sécurité John Dickson du Denim Group, car il a infecté des appareils sans aucune action de l'utilisateur.

"Normalement, un utilisateur doit cliquer sur quelque chose ou aller sur un site, mais ce n'était pas le cas ici, " Dit Dickson. " Et une fois (l'attaquant) est dedans, ils possèdent l'appareil, ils peuvent tout faire."

Qui est à blâmer?

Alors que la faille a été découverte dans WhatsApp, les experts en sécurité affirment que n'importe quelle application aurait pu être un "véhicule" pour la charge utile des logiciels espions.

"Nous n'avons pas encore été en mesure d'écrire des logiciels qui n'ont pas de bugs ou de failles, " dit Joseph Hall, technologue en chef du Center for Democracy &Technology, un groupe de droits numériques.

Hall a déclaré que le cryptage dans WhatsApp n'était pas rompu et que "la réponse de Facebook a été extrêmement rapide".

Marc Lueck de la société de sécurité Zscaler a déclaré que sur la base de la réponse de Facebook, "Vous devriez leur féliciter de l'avoir découvert en premier lieu, c'était une vulnérabilité très profonde."

L'intrusion chez WhatsApp "n'était pas une attaque contre le cryptage, c'était une attaque contre un autre élément de la demande », a déclaré Lueck.

Le cryptage vaut-il toujours la peine ?

Le chiffrement reste une fonctionnalité importante en établissant un "tunnel" sécurisé entre deux parties qui vérifie leurs identités, a noté Lueck.

"Le cryptage n'est pas important uniquement pour la confidentialité, c'est important pour la confiance, " il a dit.

Le cryptage utilisé par WhatsApp et d'autres applications de messagerie empêche l'écoute clandestine des messages et des conversations mais ne protège pas contre une attaque qui accède à l'appareil lui-même, notent les chercheurs.

"Le chiffrement de bout en bout ne protège pas contre les attaques sur votre terminal, vrai. Et les ceintures de sécurité et les airbags ne font rien pour empêcher votre voiture d'être heurtée par une météorite, " a tweeté Matt Blaze, un expert en sécurité informatique de l'Université de Georgetown.

"Bien que ni l'un ni l'autre ne protège contre tous les dommages possibles, ils restent tous les deux les défenses les plus efficaces contre des dommages très courants."

Dickson a déclaré que même si aucun cryptage n'est infaillible, la seule façon d'éviter complètement le piratage serait d'éviter complètement l'électronique :"Vous pourriez utiliser des gars à cheval."

Dois-je craindre d'être attaqué ?

Laboratoire citoyen, un centre de recherche à l'Université de Toronto, a déclaré dans un rapport de 2018 qu'il avait trouvé des infections de logiciels espions Pegasus dans 45 pays, avec 36 « opérateurs gouvernementaux probables ».

NSO maintient qu'il fournit son logiciel à des fins légitimes d'application de la loi et de renseignement. Mais les chercheurs de Toronto ont déclaré qu'il avait été obtenu par des pays ayant des antécédents "douteux" en matière de droits humains et ont suggéré qu'il pourrait avoir été utilisé par l'Arabie saoudite pour traquer et tuer le journaliste dissident Jamal Khashoggi.

Les chercheurs du Citizen Lab ont écrit dans le Globe &Mail qu'ils « ont découvert au moins 25 cas de ciblage abusif de groupes de défense, avocats, scientifiques et chercheurs, enquêteurs sur les disparitions massives et les membres des médias. »

Mais Lueck a déclaré que des programmes tels que Pegasus sont extrêmement coûteux et ne peuvent pas être facilement monétisés par des pirates informatiques à des fins lucratives.

"Votre personne moyenne n'est pas la cible de ce logiciel spécifique, qui est conçu pour vendre aux gouvernements pour cibler des individus et ne fonctionne pas à grande échelle, " il a dit.

Toujours, Lueck a déclaré que la faille souligne le fait que "l'écosystème de la téléphonie mobile est devenu une plate-forme aussi peu sûre et vulnérable que l'ordinateur".

Les gouvernements ont-ils besoin de meilleurs outils numériques ?

Les révélations surviennent alors que les gouvernements recherchent de meilleurs outils pour traquer les criminels et les extrémistes à l'aide de messagerie cryptée. Une loi australienne oblige les géants de la technologie à supprimer les protections électroniques et à faciliter l'accès aux appareils ou aux services.

Les organismes chargés de l'application de la loi se sont plaints de « devenir noir » face aux communications électroniques cryptées alors qu'ils enquêtent sur des crimes graves comme le terrorisme et les infractions sexuelles contre des enfants.

Mais Hall a déclaré que les nouvelles sur Pegasus montrent que les gouvernements disposent d'outils pour exploiter les failles logicielles pour un ciblage spécifique sans affaiblir le cryptage et la confidentialité pour tous les utilisateurs.

"Vous pouvez cibler la livraison sur des personnes spécifiques plutôt que d'entrer dans le téléphone de tout le monde à la fois, " il a dit.

© 2019 AFP