La société de sécurité Check Point vient de publier une alerte : les versions web de WhatsApp et Telegram étaient vulnérables à une faille de sécurité. Les deux entreprises ont été averties et le souci corrigé. Si le navigateur n’a pas été redémarré depuis plusieurs jours, il est temps de le faire.
Les versions web de WhatsApp et Télégram vulnérables
Même si le message était rassurant, il ne signifie pas pour autant que les utilisateurs sont toujours à l’abri, particulièrement quand les techniques utilisées par la CIA permettent d’aller débusquer d’autres problèmes. Check Point a ainsi trouvé une méthode permettant de prendre le contrôle de comptes Telegram et Whatsapp en passant par leurs versions web.
Ces déclinaisons spécifiques fonctionnent de la même manière : elles sont un reflet de ce qui se trouve sur le Smartphone. Les conversations sont normalement chiffrées de bout en bout, mais la faille permet de jouer justement avec cette capacité.
Des failles corrigées, mais que doivent faire les utilisateurs?
Quoi qu’il en soit, Check Point a remonté l’information sur ces problèmes le 7 mars. Les deux entreprises se sont penchées sur les détails fournis et ont indiqué que la faille était avérée à chaque fois. Dans les jours qui ont suivi, les versions web ont été modifiées de la même manière : les fichiers joints aux conversations sont désormais vérifiés avant que le chiffrement n’intervienne. Encore faut-il que le mécanisme de détection utilisé soit assez performant pour bloquer du même coup les menaces récentes.
Côté utilisateur, il n’y a qu’une manipulation à faire : redémarrer le navigateur si cela n’a pas été fait depuis plusieurs jours. Par mesure supplémentaire de sécurité, on peut également vider le cache, même s’il faudra probablement se reconnecter aux services après coup. Peu d’actions à prendre donc, mais puisqu’il s’agit de services web et que le navigateur n’est pas en cause, tout se passe du côté des serveurs.
Google Allo avait lui aussi une faille, Hangouts et Meets épargnés
L’application de Google était vulnérable elle aussi à une fuite d’informations, à cause d’Assistant, sa fonctionnalité permettant d’interroger le moteur de recherche. Exploitée, le bug pouvait afficher dans les conversations les recherches précédemment faites. En outre, le souci pouvait se manifester assez simplement : il suffisait de demander à Assistant de s’identifier lui-même.
Google a assuré à Recode que le problème avait été corrigé, et qu’il n’affectait qu’Allo. Hangouts et Meets sont donc épargnés.
Avec NextInpact
