{"id":4279,"date":"2015-02-10T09:53:56","date_gmt":"2015-02-10T09:53:56","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=4279"},"modified":"2020-02-26T15:51:29","modified_gmt":"2020-02-26T15:51:29","slug":"version-web-whatsapp-bug-escroqueries","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/version-web-whatsapp-bug-escroqueries\/4279\/","title":{"rendered":"Version Web de WhatsApp : bugs et escroqueries"},"content":{"rendered":"<p>Le <a href=\"https:\/\/www.kaspersky.fr\/blog\/facebook-rachete-whatsapp-les-consequences-pour-les-utilisateurs\/2474\/\" target=\"_blank\" rel=\"noopener\">c\u00e9l\u00e8bre service de messagerie WhatsApp <\/a>\u00a0a lanc\u00e9 une version Web le mois dernier. Ce service permettra aux utilisateurs d\u2019utiliser WhatsApp sur leur navigateur Web favori \u2013 tant que leur navigateur pr\u00e9f\u00e9r\u00e9 soit Google Chrome et qu\u2019ils ne tentent pas de jumeler leur compte WhatsApp Web avec un iPhone.<\/p>\n<p>Comme toujours, Kaspersky Lab Daily s\u2019int\u00e9resse surtout \u00e0 la <a href=\"https:\/\/threatpost.com\/spammers-take-a-liking-to-whatsapp-mobile-app\/110496\" target=\"_blank\" rel=\"noopener nofollow\">s\u00e9curit\u00e9 de WhatsApp Web<\/a>. Et alors que le service a officiellement \u00e9t\u00e9 mis \u00e0 la disposition des utilisateurs il y a plus d\u2019un mois, nous observons d\u00e9j\u00e0 quelques vuln\u00e9rabilit\u00e9s en termes de \u00a0s\u00e9curit\u00e9.<\/p>\n<p>Indrajeet Bhuyan, un jeune blogueur indien de 17 ans qui est aussi chercheur en technologies de la s\u00e9curit\u00e9, a trouv\u00e9 un bon nombre de bugs int\u00e9ressants non critiques, qui existent dans l\u2019interaction entre la version Web de WhatsApp et l\u2019application mobile d\u2019origine. Pour \u00eatre plus clair, le client Web est simplement une extension de l\u2019application mobile WhatsApp qui refl\u00e8te les\u00a0 conversations des dispositifs mobiles en les affichant\u00a0 sur Chrome, selon un post du blog de WhatsApp. Les utilisateurs ne pourront utiliser la version Web de WhatsApp que si leur appareil mobile (non-iOS) est connect\u00e9 \u00e0 Internet.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>#Kaspersky Daily passe en revue la #s\u00e9curit\u00e9 du nouveau service Web de WhatsApp<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F2np8&amp;text=%23Kaspersky+Daily+passe+en+revue+la+%23s%C3%A9curit%C3%A9+du+nouveau+service+Web+de+WhatsApp\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Il est probable que la plupart des bugs de la version Web de WhatsApp soient associ\u00e9s, d\u2019une certaine fa\u00e7on, \u00e0 l\u2019application mobile, comme nous le d\u00e9montre intelligemment Bhuyan.<\/p>\n<p>Un des bugs que Bhuyan a d\u00e9couvert concerne la suppression des photos et la synchronisation des donn\u00e9es entre le mobile et l\u2019application Web. Si un utilisateur poss\u00e8de WhatsApp et qu\u2019il l\u2019associe \u00e0 la version Web\u00a0 du service et que ce m\u00eame utilisateur supprime une photo via la version web de l\u2019application, cette photo sera \u00e9galement effac\u00e9e de l\u2019application mobile. Toutefois, selon Bhuyan, n\u2019importe quelle photo supprim\u00e9e dans l\u2019application mobile restera visible sur la version Web. N\u00e9anmoins, si des messages sont supprim\u00e9s dans l\u2019application mobile, ceux-ci seront \u00e9galement supprim\u00e9s sur le service Web.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/vxEi2E5Wnew?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>L\u2019autre bug d\u00e9couvert par Bhuyan concerne les options de confidentialit\u00e9 du profil. Les utilisateurs peuvent faire en sorte que leur image de profil soit visible par tout le monde, seulement par leurs contacts ou bien par personne. Si vous choisissez d\u2019autoriser uniquement vos contacts \u00e0 voir votre photo de profil, Bhuyan affirme que votre photo sera accidentellement r\u00e9v\u00e9l\u00e9e \u00e0 tout le monde sur la version Web, \u00a0comme vous pouvez le constater dans la vid\u00e9o suivante:<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/xJaqQ5gYNMM?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Bhuyan a post\u00e9 <a href=\"http:\/\/www.hackatrick.com\/2015\/02\/multiple-vulneribilities-found-in.html\" target=\"_blank\" rel=\"noopener nofollow\">une br\u00e8ve analyse de sa recherche sur son propre blog<\/a> o\u00f9 il publie des posts en relation aux nouvelles technologies \u00a0depuis qu\u2019il a 14 ans. Il affirme \u00eatre entr\u00e9 en contact avec WhatsApp afin de travailler sur les petites failles \u00e9voqu\u00e9es pr\u00e9c\u00e9demment. Cependant Kaspersky Lab Daily a contact\u00e9 WhatsApp qui s\u2019est refus\u00e9 \u00e0 tout commentaire.<\/p>\n<p>Fabio Assolini, chercheur pour Kaspersky Lab, a pass\u00e9 au crible les diff\u00e9rentes escroqueries pouvant \u00eatre pr\u00e9sentes sur la plateforme. L\u2019une d\u2019entre elles, d\u00e9crite dans un article de Securelist, consiste \u00e0 reproduire et imiter la page web d\u2019installation de WhatsApp qui installera ensuite un fichier malveillant sur Google Chrome au lieu du plug-in n\u00e9cessaire. Afin d\u2019installer la version Web de WhatsApp, les utilisateurs doivent se rendre sur web.whatsapp.com et prendre une photo du code QR \u00e0 l\u2019aide de leur t\u00e9l\u00e9phone mobile. Cependant, certains hackers tentent \u00e9galement de cr\u00e9er des pages Web similaires comprenant aussi des codes QR malveillants, afin d\u2019infecter les utilisateurs.<\/p>\n<div class=\"pullquote\">Notre meilleur conseil pour le moment: si vous souhaitez installer WhatsApp Web, assurez-vous de le faire sur la bonne page web<\/div>\n<p>Enfin, Assolini explique que les escroqueries tournant autour d\u2019une version de bureau de WhatsApp ont exist\u00e9 longtemps avant le lancement du service. Il affirme avoir remarqu\u00e9 plusieurs domaines malveillants colportant des chevaux de Troie bancaires br\u00e9siliens d\u00e9guis\u00e9s exactement comme la fausse version de WhatsApp pour Windows. Un autre groupe criminel profitait de l\u2019int\u00e9r\u00eat du public pour la version Web de WhatsApp afin de mettre en place une arnaque de num\u00e9ros et de SMS surtax\u00e9s.<\/p>\n<p>Nous sommes donc impatients de voir comment la s\u00e9curit\u00e9 de cette version Web de WhatsApp se comportera face \u00e0 d\u2019<a href=\"https:\/\/www.kaspersky.fr\/blog\/9-messageries-mobile-et-internet-securises-et-confidentiels\/3896\/\" target=\"_blank\" rel=\"noopener\">autres services de messagerie<\/a>.<\/p>\n<p>Notre meilleur conseil pour le moment: si vous souhaitez installer la version Web de WhatsApp, <a href=\"https:\/\/web.whatsapp.com\/\" target=\"_blank\" rel=\"noopener nofollow\">assurez-vous de le faire sur la bonne page web<\/a>.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>WhatsApp a finalement lanc\u00e9 une version Web de sa c\u00e9l\u00e8bre application de service de messagerie mobile. Nous jetons un \u0153il \u00e0 sa s\u00e9curit\u00e9.<\/p>\n","protected":false},"author":42,"featured_media":4280,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[600,180,421,1028,61,306,590],"class_list":{"0":"post-4279","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-bug","9":"tag-confidentialite","10":"tag-faille","11":"tag-messenger","12":"tag-securite","13":"tag-web","14":"tag-whatsapp"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/version-web-whatsapp-bug-escroqueries\/4279\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/bug\/","name":"bug"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4279","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=4279"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4279\/revisions"}],"predecessor-version":[{"id":14266,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/4279\/revisions\/14266"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/4280"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=4279"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=4279"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=4279"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}