Une faille WhatsApp exploitée pour installer un logiciel espion de conception israélienne

WhatsApp, l'application de messagerie cryptée, a admis mardi avoir été infectée par un logiciel espion donnant accès à tout le contenu des smartphones visés, un déboire de plus pour sa maison-mère Facebook.

Une faille de sécurité - dévoilée par le Financial Times, et résorbée dans la dernière mise à jour de WhatsApp - a permis à des pirates informatiques d'insérer un logiciel malveillant sur des téléphones, simplement en appelant les usagers de l'application, utilisée par 1,5 milliard de personnes dans le monde.

Dans un communiqué à l'AFP, WhatsApp a appelé les usagers à "télécharger la dernière version de notre application, et à mettre régulièrement à jour celle du système d'exploitation de leur téléphone" pour éliminer la faille, qui a pu permettre l'accès aux contacts, messages, photos...

Les pirates ont aussi pu activer micro et caméra pour écouter ou visualiser l'environnement des propriétaires de ces appareils Apple ou Android (Google), sans qu'ils s'en rendent compte.

Le logiciel espion semble lié au logiciel Pegasus, mis au point par une société israélienne bien connue des services de renseignement de différents pays, NSO Group, a expliqué à l'AFP Joseph Hall, expert au sein de l'ONG Center for Democracy and Technology, spécialisée dans les questions de droits sur internet.

NSO Group a une réputation sulfureuse et est accusée d'aider des gouvernements, du Moyen-Orient au Mexique, à épier des militants et des journalistes. Pegasus donne à ses clients l'accès à diverses fonctionnalités des appareils piratés.

Le programme espion "a pu arriver dans les mains de quelqu'un" en dehors des canaux légitimes, à des fins malveillantes, a ajouté M. Hall. Selon lui, la faille a permis l'espionnage de militants des droits humains, de journalistes etc: "le danger potentiel est vaste", a jouté M. Hall.

Ironie du sort, WhatsApp est souvent considérée comme particulièrement sûre car les communications sont cryptées: personne en dehors des interlocuteurs n'est censé pouvoir avoir accès aux contenus grâce à une clé de cryptage. Du coup, "ce genre d'applications" cryptées a "tendance à accumuler les données les plus sensibles que les gens ont besoin de protéger", a encore estimé M. Hall.

(Pour mémoire : Pourquoi WhatsApp limite le transfert de messages à cinq destinataires)

Acteurs déterminés

Le logiciel espion qui a visé la messagerie est sophistiqué et "n'a pu être utilisé que par des acteurs extrêmement déterminés", selon WhatsApp, qui assure qu'un "nombre limité d'utilisateurs ont été ciblés".

D'après leurs premières enquêtes, "cette attaque a toutes les empreintes d'une entreprise qui travaille avec de nombreux gouvernement dans le monde", a ajouté la messagerie américaine sans nommer l'entreprise en question.

Alors que tous les regards se tournent vers NSO, la société basée à Herzliya, au nord de Tel-Aviv, dans la "Silicon Valley" israélienne, celle-ci a affirmé dans un communiqué que sa technologie était "commercialisée par l'intermédiaire de licences à des gouvernements dans le seul objectif de combattre la criminalité et le terrorisme".

NSO fait d'ailleurs l'objet en Israël d'une action en justice --intentée par des défenseurs des droits humains-- destinée à faire annuler sa licence d'exportation. Amnesty International avait annoncé lundi se joindre à cette action, affirmant qu'un de ses employés avait été visé par Pegasus l'été dernier.

En Europe, WhatsApp, qui a découvert début mai l'attaque informatique avant de trouver un remède, a informé le régulateur irlandais d'une "sérieuse faille de sécurité", et averti les autorités américaines et des ONG du problème, sans donner toutefois de chiffre sur le nombre d'utilisateurs concernés ou visés.

C'est un nouveau déboire pour Facebook, qui a racheté WhatsApp en 2014 pour 22 milliards de dollars.

(Pour mémoire : Facebook envisage de crypter les messages sur Messenger et Instagram)

WhatsApp a construit sa réputation sur la sécurité et la protection des données.

Facebook est précisément vilipendé partout dans le monde pour ne pas protéger assez les données personnelles de ses usagers; et les scandales autour de "partages" de données avec des entreprises tierces mais aussi de failles de sécurité se multiplient.

Facebook a ainsi admis avoir stocké de façon non cryptée les mots de passe de centaines de millions d'usagers du réseau et de sa filiale Intagram.

A l'automne 2018, Facebook avait révélé avoir décelé une faille ayant permis à des pirates informatiques d'accéder à des données personnelles de quelque 29 millions d'usagers.

Sous pression, Facebook a même promis récemment de faire la part belle aux messageries cryptées pour plus de sécurité, promettant de crypter sa plateforme Messenger comme l'est WhatsApp.