WhatsApp infectée par un logiciel espion

L’application WhatsApp a construit sa réputation sur la sécurité et la protection des données personnelles qu’offrent ses services.
Photo: Justin Sullivan Getty Images / Agence France-Presse­ L’application WhatsApp a construit sa réputation sur la sécurité et la protection des données personnelles qu’offrent ses services.

L’application de messagerie cryptée WhatsApp a admis mardi avoir été infectée par un logiciel espion donnant accès à tout le contenu des téléphones mobiles visés, un déboire de plus pour sa maison mère Facebook.

Une faille de sécurité — dévoilée par le Financial Times et résorbée dans la dernière mise à jour de WhatsApp — a permis à des pirates informatiques d’insérer un logiciel malveillant sur des téléphones simplement en appelant les usagers de l’application, utilisée par 1,5 milliard de personnes dans le monde.

Dans un communiqué à l’AFP, WhatsApp a invité les usagers à « télécharger la dernière version de [son] application et à mettre régulièrement à jour celle du système d’exploitation de leur téléphone » pour éliminer la faille, qui a pu permettre l’accès aux contacts, messages, photos… Les pirates ont aussi pu activer micro et caméra pour écouter ou visualiser l’environnement des propriétaires de ces appareils Apple ou Android (Google) sans qu’ils s’en rendent compte.

Le logiciel espion semble lié au logiciel Pegasus, mis au point par une société israélienne bien connue des services de renseignement de différents pays, NSO Group, a expliqué à l’AFP Joseph Hall, expert au sein de l’ONG Center for Democracy and Technology, spécialisée dans les questions de droits sur Internet. NSO Group a une réputation sulfureuse et est accusée d’aider des gouvernements, du Moyen-Orient au Mexique, à épier des militants et des journalistes. Pegasus donne à ses clients l’accès à diverses fonctionnalités des appareils piratés.

Le programme espion « a pu arriver entre les mains de quelqu’un » en dehors des canaux légitimes, à des fins malveillantes, a ajouté M. Hall. Selon lui, la faille a permis l’espionnage de militants des droits de la personne, de journalistes, etc. : « Le danger potentiel est vaste », a ajouté M. Hall.

Ironie du sort, WhatsApp est souvent considérée comme particulièrement sûre, car les communications sont cryptées : personne en dehors des interlocuteurs n’est censé pouvoir avoir accès aux contenus grâce à une clé de cryptage. Par le fait même, « ce genre d’applications » cryptées a « tendance à accumuler les données les plus sensibles que les gens ont besoin de protéger », a exposé M. Hall.

Nombre limité d’utilisateurs

Le logiciel espion qui a visé la messagerie est sophistiqué et « n’a pu être utilisé que par des acteurs extrêmement déterminés », selon WhatsApp, qui assure qu’un « nombre limité d’utilisateurs a été ciblé ». D’après ses premières enquêtes, « cette attaque a toutes les empreintes d’une entreprise qui travaille avec de nombreux gouvernements dans le monde », a ajouté la messagerie américaine, sans nommer l’entreprise en question.

Alors que tous les regards se tournent vers NSO, la société basée à Herzliya, au nord de Tel-Aviv, dans la « Silicon Valley » israélienne, celle-ci a affirmé dans un communiqué que sa technologie était « commercialisée par l’intermédiaire de licences à des gouvernements dans le seul objectif de combattre la criminalité et le terrorisme ».

NSO fait d’ailleurs l’objet en Israël d’une action en justice — intentée par des défenseurs des droits de la personne — destinée à faire annuler sa licence d’exportation. Amnesty International avait annoncé lundi qu’elle se joignait à cette action, affirmant qu’un de ses employés avait été visé par Pegasus l’été dernier.

Cette attaque a toutes les empreintes d’une entreprise qui travaille avec de nombreux gouvernements dans le monde

En Europe, WhatsApp, qui a découvert début mai l’attaque informatique avant de trouver un remède, a informé la Commission de protection des données (DPC) irlandaise d’une « sérieuse faille de sécurité » et averti les autorités américaines ainsi que des ONG du problème, sans donner toutefois de chiffre sur le nombre d’utilisateurs concernés ou visés.

Déboire pour Facebook

C’est un nouveau déboire pour Facebook, qui a racheté WhatsApp en 2014 pour 22 milliards de dollars. WhatsApp a construit sa réputation sur la sécurité et la protection des données. Or Facebook est critiqué partout dans le monde pour ne pas protéger suffisamment les données personnelles de ses usagers et pour les scandales autour de « partages » de données avec des entreprises tierces, mais aussi pour des failles de sécurité qui se multiplient.

Facebook a ainsi reconnu avoir stocké de façon non cryptée les mots de passe de centaines de millions d’usagers du réseau et de sa filiale Instagram. À l’automne 2018, Facebook avait révélé qu’il avait décelé une faille ayant permis à des pirates informatiques d’accéder à des données personnelles de quelque 29 millions d’usagers.

Faisant l’objet de pressions, Facebook a même promis récemment de faire la part belle aux messageries cryptées pour plus de sécurité, promettant de crypter sa plateforme Messenger comme l’est WhatsApp.