Une nouvelle vulnérabilité trouvée dans des logiciels de messagerie tels que Messenger, Google Duo et Signal permettait aux utilisateurs d’enregistrer.
Une équipe de chercheurs de Google a révélé une vulnérabilité dans certaines des applications de messagerie instantanée les plus utilisées, telles que Messenger et Signal.
C’est la découverte d’un chercheur de Project Zero, le projet Google qui rassemble des experts en sécurité pour trouver des problèmes et des bogues dans les programmes et sur Internet. Par exemple, les membres de Project Zero ont découvert la plus grande vulnérabilité de processeur de l’histoire.
Les bugs découverts par la chercheuse Natalie Silvanovich dans sept applications de messagerie instantanée auraient pu être encore plus dangereux, car ils permettaient aux attaquants d’enregistrer des audios et des vidéos à l’aide de l’appareil de la victime, sans que la victime n’ait à faire quoi que ce soit et sans le consentement de la victime.
Google a découvert de sérieux bugs dans les applications de messagerie
L’enquête a commencé, lorsqu’en janvier 2019, il a été révélé qu’un bug dans l’iPhone nous permettait d’entendre et de voir la personne que nous appelions, avant qu’elle ne prenne l’appel.
Selon Silvanovich, une vulnérabilité aussi grave, et en même temps facile à utiliser, s’est produite à cause d’un bogue logique, lui a fait réfléchir à la possibilité de trouver quelque chose de similaire sur d’autres plates-formes.
Et en effet, après avoir examiné certaines des applications de messagerie de l’industrie qui permettent les appels et les appels vidéo, il a découvert que beaucoup avaient des bogues similaires. En effet, la plupart des applications de messagerie utilisent WebRTC, une norme de communication en temps réel qui permet la connexion entre deux entités.
En conséquence, ces applications présentaient plusieurs failles de sécurité, permettant à un attaquant d’établir la connexion avant que l’utilisateur qui la reçoive ne doive l’accepter; en conséquence, il pourrait enregistrer de l’audio et même de la vidéo directement à partir du smartphone, en plus d’affecter son fonctionnement.
Le signal est également affecté par la vulnérabilité
L’une des applications de la liste affectée est Signal, qui a récemment connu une croissance spectaculaire grâce précisément à sa présentation comme une alternative plus sûre à WhatsApp ou Telegram. Dans son cas, la vulnérabilité permettait à un attaquant d’écouter directement via le microphone de l’appareil, car l’application ne vérifiait pas qui passait l’appel. Ce problème a été résolu grâce à une mise à jour publiée en septembre 2019; de plus, Signal n’utilise plus WebRTC pour établir des connexions.
En revanche, d’autres applications ont mis un peu plus de temps à corriger leurs bogues; ironiquement, Google Duo a été le dernier en date, corrigeant en décembre 2020 un problème qui filtrait les paquets de données vidéo des appels sans réponse.
Facebook Messenger est une autre application populaire affectée, qui a résolu le problème en novembre 2020; dans son cas, l’attaquant pourrait lancer un appel et en même temps envoyer un message à la cible, ce qui amènerait l’application à commencer à envoyer du son à l’attaquant sans afficher l’appel à l’écran.
Le fait que Project Zero ait décidé de ne pas rendre ces problèmes publics jusqu’à présent en dit long sur la gravité du problème. Google a lancé le projet avec une politique très controversée, consistant à publier les vulnérabilités découvertes dans les 90 jours, qu’elles aient ou non été corrigées; par exemple, quand il a publié comment contourner les limitations de Windows 10S avant que Microsoft puisse publier le correctif.
Cependant, ce cas semble avoir été suffisamment grave pour que Google ait attendu que toutes les applications (y compris la sienne) aient été corrigées.
