Bonne
nouvelle pour les utilisateurs de WhatsApp: l'équipe s'engage à plus de
transparence sur les failles des applications et a mis en place une page de
conseil visant à garder la communauté mieux informée des vulnérabilités de
sécurité
WhatsApp
met toutes ses cartes sur la table en ce qui concerne les bugs et les
problèmes de sécurité et a signalé six vulnérabilités précédemment non
divulguées sur un site Web dédié.
NOUVEAU
SITE DE CONSEILS DE SÉCURITÉ WHATSAPP
L'équipe
à l'origine de la plus grande application de chat au monde a confirmé avoir
corrigé six vulnérabilités non divulguées auparavant. WhatsApp a également
annoncé un nouveau site dédié aux
conseils de sécurité .
Le site
de conseil sera utilisé pour informer plus de deux milliards d'utilisateurs de
WhatsApp dans le monde sur les nouvelles vulnérabilités WhatsApp a été critiqué
pour ses mesures de sécurité dans le passé.
«
Nous sommes très attachés à la transparence, et cette ressource est destinée à
aider la communauté technologique et à bénéficier nos utilisateurs des
dernières avancées en terme de sécurité ».
Les
utilisateurs peuvent s'attendre à une liste complète des mises à jour de
sécurité, ainsi qu'aux vulnérabilités et expositions communes (CVE) associées
dans le cadre de la nouvelle initiative de transparence WhatsApp.
AMÉLIORATION
DE LA SÉCURITÉ ET DE LA TRANSPARENCE
L'équipe
WhatsApp a déclaré qu'elle prenait la sécurité des utilisateurs très au sérieux
et qu'elle fournirait des protections de premier ordre aux utilisateurs tout en
collaborant avec des experts du monde entier « pour rester en avance sur les
menaces potentielles ».
WhatsApp
a expliqué qu'il effectuera des examens de sécurité internes et « s'appuiera
sur des systèmes de détection automatisés pour identifier et résoudre les
problèmes potentiels de manière proactive ». Fidèle à leur parole,
WhatsApp a révélé six bugs de sécurité.
L'équipe
a expliqué que les six vulnérabilités de sécurité avaient été
corrigées. Nous inclurons les six correctifs reçus de WhatsApp ci-dessous.
Un bug en
particulier (CVE-2020-1890) ne nécessitait aucune interaction de l'utilisateur
et pouvait charger des données malformées sur les appareils Android. Un
autre bogue, CVE-2019-11928, nécessitait une validation d'entrée de la part des
utilisateurs.
SIX
VULNÉRABILITÉS RÉCENTES DE WHATSAPP
CVE-2020-1894
Un
débordement d'écriture dans WhatsApp pour Android et iPhone aurait pu permettre
l'exécution de code arbitraire sur la lecture d'un message push to talk
spécialement conçu.
CVE-2020-1891
Un
paramètre contrôlé par l'utilisateur dans les appels vidéo dans WhatsApp pour
Android pourrait avoir autorisé une écriture hors limites sur les périphériques
32 bits.
CVE-2020-1890
Un
problème de validation d'URL dans WhatsApp pour Android aurait pu amener le
destinataire d'un message autocollant contenant des données délibérément mal
formées à charger une image à partir d'une URL contrôlée par l'expéditeur sans
interaction de l'utilisateur.
CVE-2020-1889
Un
problème de contournement des fonctionnalités de sécurité dans les versions de
WhatsApp Desktop
CVE-2020-1886
Un
dépassement de mémoire tampon dans WhatsApp pour Android aurait pu permettre
une écriture hors limites via un flux vidéo spécialement conçu après avoir reçu
et répondu à un appel vidéo malveillant.
CVE-2019-11928
Un
problème de validation d'entrée dans les versions de WhatsApp Desktop aurait pu
permettre la création de scripts intersites en cliquant sur un lien à partir
d'un message de localisation en direct spécialement conçu.
COMMENTS