Les 19 milliards de dollars proposés par Facebook pour racheter WhatsApp placent l'application de messagerie instantanée sous le feu des projecteurs, pour de bonnes et de mauvaises raisons. Le directeur technique de DoubleThink, Bas Bosschert, a fait part d'une découverte de prime abord troublante, qui ne concerne que la version Android du logiciel. Ce qui doit représenter tout de même un nombre élevé de terminaux.
Il explique qu'il est possible d'accéder aux discussions échangées sur WhatsApp, si celles-ci sont stockées sur une carte SD (la présence d'un lecteur de cartes microSD est un classique sur les smartphones Android, mais pas systématique). Grâce à un script Python, Bosschert a réussi à casser le chiffrement de la base de données.
Le hic, c'est que ce hack passe par une application tierce qui va récupérer la base de données WhatsApp et la téléverser sur un serveur distant; il faut donc que l'utilisateur télécharge ce logiciel malveillant et lui autorise l'accès à la carte SD…
WhatsApp, piqué au vif, n'a pas tardé à répliquer en pointant du doigt une découverte qui crie exagérément au loup . « Dans des circonstances normales », explique un porte-parole de WhatsApp, « les données stockées sur une carte SD ne sont pas exposées ». Dans ce cas précis, le danger provient non pas de WhatsApp, mais de l'utilisateur qui met ses données en danger s'il télécharge une application malveillante. Un appel à la prudence qui n'est parfois pas écouté, ce qui explique également en partie pourquoi Android est le système d'exploitation mobile le plus visé par les malwares (lire : Phil Schiller fait sa sortie annuelle contre Android).
L'application de messagerie instantanée a d'ailleurs fait l'objet il y a peu d'une mise à jour de sécurité sur Android. Elle ne comble pas la vraie-fausse faille découverte par Bosschert, mais elle est tout de même fortement recommandée à tous les utilisateurs de terminaux basés sur cet OS.
