WhatsApp déploie discrètement une nouvelle couche de sécurité pour les photos, les vidéos et les documents, qui fonctionne entièrement en arrière-plan. Cela ne changera pas votre façon de discuter, mais cela changera ce qu'il advient des fichiers qui transitent par vos discussions, en particulier ceux qui peuvent dissimuler des logiciels malveillants.
La nouvelle fonctionnalité, appelée « Paramètres de compte stricts », sera progressivement déployée au cours des prochaines semaines. Pour voir si vous disposez de cette option et pour l'activer, rendez-vous dansParamètres> Privacy > Advanced.
Hier, nous avons évoqué un bug WhatsApp sur Android qui a fait les gros titres, car un fichier multimédia malveillant dans une discussion de groupe pouvait être téléchargé et utilisé comme vecteur d'attaque sans que vous ayez à toucher quoi que ce soit. Il suffisait d'être ajouté à un nouveau groupe pour être exposé au fichier piégé. Ce problème a mis en évidence une préoccupation que les spécialistes de la sécurité ont depuis des années : les fichiers multimédias constituent un excellent vecteur d'attaques, et ils n'exploitent pas toujours WhatsApp lui-même, mais des bugs dans le système d'exploitation ou ses bibliothèques multimédias.
Dans son explication de cette nouvelle technologie, Meta fait référence à la Android Stagefright Android de 2015, où le simple fait de traiter une vidéo malveillante pouvait compromettre un appareil. À l'époque, WhatsApp avait contourné le problème en apprenant à sa médiathèque à repérer les fichiers MP4 corrompus susceptibles de déclencher ces bogues du système d'exploitation, offrant ainsi une protection aux utilisateurs même si leurs téléphones n'étaient pas entièrement mis à jour.
La nouveauté réside dans le fait que WhatsApp a désormais reconstruit sa bibliothèque centrale de gestion des médias dans Rust, un langage de programmation sécurisé pour la mémoire. Cela permet d'éliminer plusieurs types de bogues de mémoire qui entraînent souvent de graves problèmes de sécurité. Au cours de ce processus, environ 160 000 lignes de code C++ ancien ont été remplacées par environ 90 000 lignes de code Rust, et la nouvelle bibliothèque a été déployée sur des milliards d'appareils Android, iOS, d'applications de bureau, d'appareils portables et sur le web.
De plus, WhatsApp a intégré une série de contrôles dans un système interne appelé « Kaleidoscope ». Ce système inspecte les fichiers entrants à la recherche d'anomalies structurelles, signale les formats à haut risque tels que les PDF contenant du contenu ou des scripts intégrés, détecte les fichiers qui se font passer pour ce qu'ils ne sont pas (par exemple, un fichier exécutable renommé) et marque les types de fichiers connus pour être dangereux afin qu'ils soient traités de manière spéciale dans l'application. Il ne détectera pas toutes les attaques, mais il devrait empêcher les fichiers malveillants d'atteindre les parties les plus fragiles de votre appareil.
Pour les utilisateurs quotidiens, les vérifications Rust rebuilt et Kaleidoscope sont une bonne nouvelle. Elles ajoutent un filet de sécurité solide et invisible autour des photos, vidéos et autres fichiers que vous recevez, y compris dans les discussions de groupe où le bug récent pourrait être exploité. Elles s'alignent également parfaitement sur nos conseils précédents visant à désactiver les téléchargements automatiques de médias ou à utiliserPrivacy Advanced , qui limite la propagation d'un fichier malveillant sur votre appareil, même s'il atterrit dans WhatsApp.
WhatsApp est la dernière plateforme à déployer des protections renforcées pour ses utilisateurs : Apple a introduit le mode Verrouillage en 2022, et Android avec le mode Advanced l'année dernière. Les nouveaux paramètres de compte stricts de WhatsApp adoptent une approche similaire de haut niveau, en appliquant des paramètres par défaut plus restrictifs au sein de l'application, notamment le blocage des pièces jointes et des médias provenant d'expéditeurs inconnus.
Cependant, ce n'est pas une raison pour se précipiter vers WhatsApp ou pour considérer ces changements comme une garantie de sécurité. À tout le moins, Meta montre qu'il est prêt à investir pour rendre WhatsApp plus sûr.
Nous ne nous contentons pas d'informer sur la sécurité des téléphones, nous la fournissons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éloignez les menaces de vos appareils mobiles en téléchargeant dès aujourd'hui Malwarebytes pour iOS et Malwarebytes pour Android.
