Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

WhatsApp colmate une importante faille de sécurité dans son application Windows

Le 09 avril à 10h50

Les utilisateurs du client WhatsApp pour Windows sont invités à installer rapidement la dernière version de l’application, soit depuis le site officiel, soit depuis le Microsoft Store.

L’application a en effet un problème assez sérieux sur la gestion des fichiers. Quand une personne reçoit un fichier en pièce jointe dans un message, WhatsApp se sert en effet des MIME (Multipurpose Internet Mail Extensions) pour déterminer de quel type de données il s’agit. Ces extensions peuvent par exemple signaler que l’on a affaire à une image, WhatsApp préparant donc sa prévisualisation en miniature.

WhatsApp

C’est justement ce mécanisme que des pirates réussissent actuellement à abuser. Car un fichier reconnu comme image peut cacher un exécutable. Tant que le fichier se trouve dans WhatsApp, ce dernier n’affiche qu’une miniature. Mais si on double-clique pour l’ouvrir, c’est bien un programme qui se lance.

La faille, estampillée CVE-2025-30401, est décrite par Meta comme pouvant être utilisée par des pirates pour distribuer des logiciels malveillants. L’entreprise n’indique cependant pas si elle est déjà exploitée.

« Un problème d'usurpation d'identité dans WhatsApp pour Windows avant la version 2.2450.6 affichait les pièces jointes en fonction de leur type MIME mais sélectionnait le gestionnaire d'ouverture de fichier en fonction de l'extension du nom de fichier de la pièce jointe. Une erreur malveillante pourrait amener le destinataire à exécuter par inadvertance un code arbitraire au lieu de visualiser la pièce jointe lors de l'ouverture manuelle de cette dernière dans WhatsApp », indique Meta dans son billet.

Il est donc recommandé d’installer la dernière version au plus vite.

Le 09 avril à 10h50

Commentaires (13)

votre avatar
Après il y a encore un gros problème sur WhatsApp : meta AI. Censé nous aider à rédiger des messages, il est facile d'y inclure des informations sensibles par mégarde. On a vu avec le "SignalGate" qu'avoir un outil sécurisé ne suffit pas : il faut savoir l'utiliser. Or envoyer un message sensible à n'importe qui fait partie des pratiques à éviter, n'importe qui incluant une AI. Donc ça va devenir touchy d'utiliser tout logiciel utilisant de l'AI, y compris les messageries pourtant techniquement sécurisées.

:fumer:
votre avatar
Après il y a encore un gros problème sur WhatsApp : meta AI.
Voilà, c'est plus simple comme cela. Donc, ne pas l'utiliser.

Envoyer quelque chose à Meta est un problème en particulier pour les données personnelles.

Envoyer quelque chose à une IA qui peut réutiliser ce quelque chose pour son entraînement est un problème : ça peut ressortir plus tard en révélant des secrets.

Il faut donc faire attention à ce que l'on envoie soit en tant que particulier, soit lors d'un usage professionnel. En particulier, il ne faut pas utiliser un outil à destination des particuliers dans le cadre professionnel.
votre avatar
Depuis le temps que je dis que c'est une connerie de s'appuyer sur une "extension de fichier" pour définir la nature d'un fichier et lancer un programme pour l'exploiter.
Et cacher une extension dans un monde où l'on a ce genre de croyance est une connerie encore plus grande.
votre avatar
Et cacher une extension dans un monde où l'on a ce genre de croyance est une connerie encore plus grande.
Mais, qui ferais cela ?
votre avatar
Alors qu'il existe les nombres magiques ou octets magiques pour identifier la nature d'un fichier (FF D8 & FF D9 pour du JPEG par exemple).

Après, est-ce que ça peut se trafiquer aussi d'une certaine manière...?

:keskidit:
votre avatar
Ce n'est pas la présence de ce nombre magique qui te protège vu que le fichier peut très bien être écrit pour cibler une bibliothèque vulnérable et en charge de lire ce fichier binaire.
votre avatar
Ce n'est pas un cookie...

List of files signatures

Magic numbers
votre avatar
Je vois pas de quoi tu parles :D
Et surtout, ça ne change rien à la réflexion de fond : c'est juste un moyen de déterminer le format d'un fichier binaire et ça n'empêche en rien des attaques visant des composants vulnérables lisant ces formats.
votre avatar
Bah, tu avais juste écrit le mot "cookie" avant de le faire disparaitre ensuite
:D: :D:

Si je ne me trompe, un cookie est un fichier à part, séparé , individuel.

Ici je parlais du nombre magique, qui est un code inscrit au début d'un fichier, dans le fichier lui-même (header) et qui permet à un programme de savoir à quoi il a à faire...

Du genre : "This file is not a valid JPEG" (quand par exemple on a changé l'extension du fichier pour le forcer à s'ouvrir avec tel ou tel programme).

Enfin, bref, mes connaissances s'arrêtent là sur ce sujet.

Et en effet, il doit sûrement y avoir manière de truander ce système de nombres magiques ou d'autres méthodes pour lancer un exécutable qui n'aurait pas eu lieu d'être exécuté ( pas dans le sens de fusillé ici :D:)
votre avatar
J'ai de vagues souvenirs qu'à l'époque de mes cours de système, on parlait de cookie. C'était peut être juste mon prof mais bref.
votre avatar
Tu as raison mais dans le cas présent, l'appli WhatsApp n'aurait pas affiché une miniature en faisant confiance au type MIME reçu et juste après lancé l'exécution du programme si les 2 fois, elle avait testé le magic number en tête de fichier. Elle aurait fait soit l'un soit l'autre suivant le magic number.
Si c'était un exécutable, il n'y aurait pas eu de miniature d'affichée et l'utilisateur se serait plus méfié.
votre avatar
Un de mes collègues disait:
«Finalement, c'est facile l'installation de Windows. Il suffit de sélectionner le contraire de toutes les options par défaut»
votre avatar
Les versions Windows Store se mettent à jour toutes seules non, comme sur les smartphones ?

WhatsApp colmate une importante faille de sécurité dans son application Windows

Fermer