Piratage de WhatsApp : « Le citoyen lambda n’est pas concerné… », rassure Younoussa Sanfo, expert en sécurité informatique

Lefaso.net : En début mai, l’application de messagerie mobile WhatsApp a été piratée, et cela aurait permis aux pirates d’installer des logiciels espions. Qu’en est-il exactement ?

Younoussa Sanfo : Une faille a été découverte dans l’application de communication WhatsApp, propriété de Facebook, qui l’a rachetée à 19 milliards de dollars en mi-février 2014.

La faille permettait, suite à un appel, de provoquer un buffer overflow (débordement de tampon) qui déstabilise le téléphone, permettant ainsi à un attaquant externe de contourner la sécurité de l’application pour installer un logiciel sur le téléphone cible.

Il y a eu beaucoup de bruit sur cette affaire et tous les utilisateurs de WhatsApp se sentent concernés. Il faut relativiser, car en réalité, vous avez plus de risque qu’un avion tombe sur votre maison que d’être concerné par cette attaque. C’est dire que la probabilité que cela arrive au citoyen lambda est très faible. Pour les utilisateurs de WhatsApp, il faut juste effectuer la mise à jour du 13 mai 2019 et rester zen. Parmi les logiciels de sa catégorie, WhatsApp reste malgré tout un logiciel assez sûr.

Comment savoir si son téléphone a été infecté ?

Seule une analyse en laboratoire permet de le savoir. Vu le coût d’une analyse en laboratoire, je ne vous le suggère pas. Sauf si vous êtes un chef d’État ou un VIP. Le plus utile actuellement, c’est de faire la mise à jour.

Le mode opératoire est-il une première dans l’histoire du piratage ?

Pas du tout ! Passer par un débordement de tampon pour contourner un système de sécurité est assez courant. La particularité, c’est le logiciel Pegasus de NSO Group, une firme israélienne. En effet, ce logiciel, qui est en réalité un virus, est très redoutable, car une fois installé sur votre téléphone, non seulement il est difficilement détectable, mais l’attaquant a entièrement accès au téléphone et peut exécuter tout ce qu’il veut sur ledit téléphone.

À propos de Pegasus de NSO Group, ce n’est pas la première fois qu’il est indexé dans ce type de piratage. Déjà en 2015, le gouvernement du Panama avait dépensé 8 millions de dollars pour mettre sur écoute 300 smartphones – 150 Android et 150 BlackBerry – grâce à Pegasus le logiciel de NSO Group.

En août 2016, un défenseur des droits de l’homme, Ahmed Mansoor, avait été ciblé par ce même logiciel.

Mais NSO Group s’en défend, disant que ses solutions n’étaient vendues que pour être utilisées légalement par les gouvernements et les services de maintien de l’ordre dans le cadre de la lutte contre le crime et le terrorisme.

Sans défendre qui que ce soit, je crois que c’est vrai. Israël encadre ce type d’entreprises présentes sur son sol. NSO ne vendra pas son logiciel à une entreprise privée, n’en parlons pas d’un individu ; c’est totalement interdit par le ministère de la Défense israélien qui encadre ce type de sociétés israéliennes.
Ils ne vendent pas leur logiciel à tous les pays et ils ne vendent pas leur logiciel à un pays qui est par exemple à quelques mois d’une élection présidentielle. Certains pays sont d’office blacklistés.

Quelles peuvent être les conséquences d’un tel piratage chez les utilisateurs ?

Les utilisateurs qui peuvent être ciblés sont les chefs d’État, les VIP tels que certains ministres, les cadres de l’armée, les cadres des services de renseignement et bien sûr les cadres terroristes. Bien entendu, ce sont des cibles dures car ces derniers ont des téléphones sécurisés. D’ailleurs, l’un des meilleurs téléphones sécurisés est fabriqué et commercialisé par un partenaire de NSO Group, dont le cerveau est un ancien de NSO, comme par hasard.

Comme je le disais plus haut, pour le citoyen lambda il y a très peu de chance, parce que le coût est assez élevé. Même pour un État, le pack complet de ce type de logiciel de surveillance coûte dans les 20 milliards de F CFA, pour traiter environ 400 téléphones ! Sachant que les cibles concernées utilisent de plus en plus de téléphones sécurisés, le citoyen lambda n’est pas concerné par ce type de solutions.

La mise à jour de WhatsApp permet-elle réellement de se mettre à l’abri d’une telle menace ?

Le type de faille utilisée est classé dans la catégorie des failles zero-day, c’est-à-dire des failles inconnues, donc non-corrigées. La force des sociétés qui fabriquent ce type de virus, c’est qu’elles ont non seulement des ingénieurs qui travaillent à rechercher des failles zero-day, mais elles ont assez de moyens pour acheter des failles à des pirates qui les vendent à prix courant. Par exemple, en 2016, une faille zero-day pour un accès partiel à un iPhone était en vente dans le DarkNet à 5 millions de dollars.

Quels enseignements tirer de ce piratage ?

Aujourd’hui, les ordinateurs et les téléphones que nous utilisons nous rendent de grands services et nous avons pris l’habitude d’y stocker toute notre vie, et parfois des secrets d’entreprises. La protection de ce patrimoine devrait être un réflexe naturel. L’enseignement, c’est de ne pas paniquer à chaque fois qu’il est question d’un piratage comme si nous étions des cibles obligatoires. C’est à chacun d’évaluer le degré de criticité des informations qu’il manipule ainsi que la probabilité que chacun de nous puisse être une cible potentielle.

Entretien réalisé en ligne par Herman Frédéric Bassolé
Lefaso.net