WhatsApp, l'application de messagerie qui a notamment fondé son immense popularité sur sa bonne réputation en matière de sécurité, a admis mardi 14 mai 2019 avoir été infectée par un logiciel espion.

Une faille sécuritaire - dévoilée par le Financial Times, et résorbée dans la dernière mise à jour de WhatsApp - a permis à des pirates informatiques d'insérer un logiciel malveillant sur des téléphones en appelant les usagers de l'application, utilisée par 1,5 milliard de personnes dans le monde.

En Europe, WhatsApp a informé le régulateur irlandais d'une "sérieuse faille de sécurité", et averti les autorités américaines et des ONG du problème, sans donner toutefois de chiffres sur le nombre d'utilisateurs concernés ou visés.

Le Financial Times cite un vendeur de logiciels d'espionnage affirmant que ce programme avait été mis au point par une société israélienne bien connue des services de renseignement de différents pays, NSO Group, accusée d'aider des gouvernements du Moyen-Orient au Mexique à épier des militants et des journalistes.

WhatsApp a découvert début mai l'attaque informatique, qui vise aussi bien des appareils Android que des iPhones d'Apple, entre autres, et a trouvé ensuite un remède.

"Cette vulnérabilité est majeure puisqu'elle permet une prise de contrôle totale de l'équipement sous-jacent", explique Loïc Guézo, secrétaire général du Clusif (Club de la sécurité de l'information français).

"Il faut imaginer qu'on peut utiliser toutes les ressources de votre téléphone sans témoin d'activité de type voyant rouge", ajoute-t-il.

Potentiellement, les attaquants ont eu accès au contenu des smartphones infectés (contacts, messages, photos...), et ils ont pu installer des logiciels pour écouter (ou visualiser) l'environnement des propriétaires de ces appareils, sans qu'ils s'en rendent compte.

Dans un communiqué, un porte-parole de Whatsapp appelle les usagers à "télécharger la dernière version de notre application, et à mettre régulièrement à jour celle du système d'exploitation de leur téléphone".

Rachetée par Facebook en 2014 pour 22 milliards de dollars, la messagerie a construit sa bonne réputation sur la sécurité et de protection des données, avec cette promesse que peut lire tout usager sur son application: "Vos messages et appels sont protégés par le chiffrement de bout en bout, ce qui signifie que ni WhatsApp ni des tierces parties ne peuvent les lire ou les écouter".

"C'est un coup très très mauvais pour WhatsApp, mais ils ont réagi très vite", estime Loïx Guézo, avant de rappeler qu'aucun système n'est inattaquable.

C'est un déboire de plus pour Facebook, la maison mère de WhatsApp, qui fait l'objet de scandales en cascades sur ses pratiques en matière de respect des données personnelles.