WhatsApp pour Windows permet l'exécution de scripts Python et PHP sans avertissement

En tant que l’une des plateformes de messagerie instantanée les plus populaires et les plus utilisées sur Internet, WhatsApp dispose de mesures de sécurité solides pour bloquer les fichiers potentiellement dangereux, protégeant ainsi la vie privée et les données des utilisateurs.

Cependant, une vulnérabilité de sécurité récemment découverte dans la dernière version de WhatsApp pour Windows permet aux attaquants d’exécuter des pièces jointes Python et PHP sur un ordinateur sans aucun avertissement lorsque le destinataire les ouvre.

Cette vulnérabilité de WhatsApp représente un risque significatif pour les utilisateurs, car elle permet aux acteurs malveillants d’exécuter du code malveillant directement sur l’ordinateur du destinataire.

Le chercheur en sécurité Saumyajeet Das a trouvé la vulnérabilité dans la version actuelle de WhatsApp pour Windows en testant différents types de fichiers qui pourraient être connectés aux discussions WhatsApp pour voir si l’application autorisait certains des fichiers plus compliqués (via BleepingComputer).

“Lors de l’envoi d’un fichier potentiellement dangereux, tel qu’un .EXE, WhatsApp l’affiche et donne au destinataire deux options : Ouvrir ou Enregistrer sous,” a écrit BleepingComputer dans son rapport.

“Cependant, en essayant d’ouvrir le fichier, WhatsApp pour Windows génère une erreur, laissant aux utilisateurs seulement l’option d’enregistrer le fichier sur le disque et de le lancer à partir de là.”

Das a trouvé trois types de fichiers que le client WhatsApp ne bloque pas lors du lancement, à savoir .PYZ (application ZIP Python), .PYZW (programme PyInstaller) et .EVTX (fichier journal d’événements Windows).

Lorsque BleepingComputer a effectué ses propres tests, il a constaté que WhatsApp ne bloquait pas l’exécution de fichiers Python ou de scripts PHP.

Si toutes les fonctionnalités sont présentes, le destinataire n’a qu’à cliquer sur le bouton “Ouvrir” sur le fichier reçu et exécuter le script.

Das affirme que la vulnérabilité de sécurité dans la dernière version de WhatsApp pour Windows permet l’exécution de code arbitraire en contournant les atténuations de sécurité existantes.

Cependant, pour que la faille soit exploitée, Python doit être installé sur l’ordinateur, ce qui signifie que cela pourrait limiter les cibles aux développeurs de logiciels, aux chercheurs et aux utilisateurs avancés.

La vulnérabilité de sécurité trouvée sur WhatsApp pour Windows a été signalée à Meta le 3 juin 2024.

Cependant, la société a répondu le 15 juillet 2024, en disant qu’un autre chercheur avait déjà signalé le problème et qu’il aurait dû être corrigé.

Lorsque le chercheur a contacté BleepingComputer, la faille était toujours active dans la dernière version de WhatsApp pour Windows, v2.2428.10.0, qui a été reproduite par la publication sur Windows 11.

“J’ai signalé ce problème à Meta via leur programme de récompense pour bugs, mais malheureusement, ils l’ont fermé comme N/A. C’est décevant, car il s’agit d’une faille simple qui pourrait être facilement atténuée,” a expliqué le chercheur.

Lorsque BleepingComputer a contacté WhatsApp pour obtenir une explication concernant le problème, WhatsApp a rejeté le rapport du chercheur et a déclaré qu’ils ne voyaient aucun risque de sécurité et qu’ils ne prévoyaient pas de correction.

“Nous avons lu ce que le chercheur a proposé et apprécions sa soumission. Les logiciels malveillants peuvent prendre de nombreuses formes différentes, y compris à travers des fichiers téléchargeables destinés à tromper un utilisateur,” a déclaré un porte-parole de WhatsApp à BleepingComputer dans un communiqué.

“C’est pourquoi nous avertissons les utilisateurs de ne jamais cliquer sur ou ouvrir un fichier provenant de quelqu’un qu’ils ne connaissent pas, peu importe comment ils l’ont reçu - que ce soit via WhatsApp ou toute autre application.”

Le représentant de l’entreprise a également expliqué que WhatsApp dispose d’un système pour notifier les utilisateurs lorsqu’ils reçoivent des messages de personnes qui ne figurent pas dans leurs contacts ou dont les numéros de téléphone sont enregistrés dans un autre pays.

Das a exprimé son mécontentement face à l’ignorance de Meta concernant son rapport de vulnérabilité et le problème de sécurité de WhatsApp. “En ajoutant simplement les extensions .pyz et .pyzw à leur liste de blocage, Meta peut prévenir une exploitation potentielle à travers ces fichiers zip Python,” a déclaré le chercheur.

Cependant, en abordant le problème, WhatsApp “n’améliorerait pas seulement la sécurité de ses utilisateurs, mais démontrerait également son engagement à résoudre rapidement les préoccupations en matière de sécurité,” a-t-il ajouté.

BleepingComputer, également, a contacté WhatsApp pour les informer que l’extension PHP n’est pas non plus bloquée, mais n’a pas encore reçu de réponse.

Jusqu’à ce moment-là, les utilisateurs de WhatsApp doivent rester vigilants, ne pas ouvrir de fichiers suspects, en particulier ceux provenant de sources inconnues, et toujours garder leurs logiciels à jour.