Confidentialité

L'attaque par logiciel espion sur WhatsApp révèle les limites de la sécurité des applications

2 avril 20264 min de lecture

Une société de surveillance italienne a utilisé une fausse application WhatsApp pour déployer un logiciel espion

WhatsApp a révélé qu'une société de surveillance italienne appelée ASIGINT, filiale d'une entreprise nommée SIO, a trompé environ 200 utilisateurs en les incitant à télécharger une version contrefaite de l'application de messagerie chargée d'un logiciel espion. Les victimes se trouvaient principalement en Italie, et la campagne a été décrite comme très ciblée, reposant sur l'ingénierie sociale plutôt que sur des failles techniques dans WhatsApp lui-même.

Une fois que WhatsApp a identifié les comptes concernés, la société a déconnecté ces utilisateurs de la plateforme et les a invités à localiser et supprimer l'application frauduleuse de leurs appareils. SIO a déclaré publiquement qu'elle travaille avec des forces de l'ordre et des agences de renseignement, bien que la divulgation de WhatsApp n'ait ni validé ni cautionné ces affirmations.

C'est la deuxième fois en 15 mois que Meta, la société mère de WhatsApp, aborde publiquement une activité de logiciel espion liée à l'Italie. Cette tendance suggère un intérêt croissant pour les outils de surveillance commerciale opérant dans la région.

À quoi ressemble concrètement l'ingénierie sociale

Le terme « ingénierie sociale » est souvent traité comme du jargon technique, mais le concept est simple : au lieu de s'introduire dans un système, les attaquants manipulent les personnes pour qu'elles leur ouvrent la porte.

Dans ce cas, les victimes ont été amenées à télécharger une application qui ressemblait à WhatsApp sans l'être. La tromperie impliquait probablement une combinaison de faux liens de téléchargement, d'instructions trompeuses ou d'usurpation d'identité d'une source de confiance. Aucune faille dans le code de WhatsApp n'était nécessaire. L'attaque a fonctionné parce que les gens ont fait confiance à ce qu'on leur montrait.

Il s'agit d'une distinction importante. Lorsqu'une entreprise corrige une faille logicielle, elle élimine un point d'entrée technique. Les attaques par ingénierie sociale ne reposent pas sur ces failles. Elles reposent sur le comportement humain, et plus précisément sur la tendance à faire confiance aux interfaces familières et à suivre les instructions d'autorités apparentes.

Aucune mise à jour d'application, aussi complète soit-elle, ne peut combler totalement cette lacune.

Un problème récurrent avec les logiciels espions commerciaux

Les outils de surveillance commerciale vendus aux gouvernements et aux forces de l'ordre suscitent une inquiétude persistante parmi les chercheurs en protection de la vie privée et les organisations de défense des libertés civiles. Les entreprises qui développent ces outils affirment souvent qu'ils servent des fins d'enquête légitimes. Les critiques soulignent que ces mêmes outils peuvent être, et ont été, utilisés contre des journalistes, des militants, des avocats et des citoyens ordinaires sans aucun lien avec une activité criminelle.

ASIGINT et SIO correspondent à un profil bien connu dans ce domaine. L'existence d'une fausse application WhatsApp conçue pour déployer silencieusement un logiciel espion soulève des questions sur la supervision, les critères de ciblage et les cadres juridiques qui ont, le cas échéant, régi cette campagne particulière. La divulgation de WhatsApp n'a pas répondu à ces questions, mais le fait qu'une grande plateforme ait jugé nécessaire de nommer publiquement la société et d'avertir les utilisateurs concernés est notable.

Pour les quelque 200 personnes touchées par cette campagne, l'expérience constitue un rappel cinglant que la menace ne provenait pas d'une faille dans une application qu'elles avaient choisi d'utiliser. Elle venait du fait d'avoir été trompées pour utiliser une tout autre application.

Ce que cela signifie pour vous

L'utilisateur moyen de WhatsApp a peu de chances d'être la cible d'une opération de surveillance commerciale. Ces campagnes ont tendance à être coûteuses, à demander une main-d'œuvre importante et à se concentrer sur des individus spécifiques. Mais la méthode sous-jacente — tromper quelqu'un pour lui faire installer une application malveillante en lui donnant une apparence légitime — n'est pas l'apanage de la surveillance d'État. Des variantes de cette tactique apparaissent dans des campagnes de hameçonnage et des arnaques quotidiennes partout dans le monde.

L'affaire WhatsApp rappelle utilement que la sécurité numérique n'est pas seulement une question de faire confiance aux bonnes applications. Elle exige également de prêter attention à l'origine de ces applications.

Voici des mesures pratiques à envisager :

Téléchargez des applications uniquement depuis des sources officielles. Sur Android, cela signifie le Google Play Store. Sur iOS, l'App Store. Évitez d'installer des applications à partir de liens envoyés par message, même de la part de personnes que vous connaissez.
Vérifiez avant d'installer. Si quelqu'un vous envoie un lien pour télécharger une application, consultez directement le site officiel de cette application plutôt que de suivre le lien.
Maintenez les fonctions de sécurité de votre appareil actives. La plupart des systèmes d'exploitation modernes signalent les applications provenant de sources non vérifiées. Prenez ces avertissements au sérieux.
Méfiez-vous de l'urgence. Les attaques par ingénierie sociale créent souvent un sentiment d'urgence pour court-circuiter la réflexion prudente. Si une instruction vous semble pressante, prenez le temps de réfléchir.
Tenez compte des avertissements des fournisseurs d'applications. WhatsApp a proactivement contacté les utilisateurs concernés. Si un service que vous utilisez vous contacte au sujet d'un problème de sécurité, prenez-le au sérieux et suivez ses conseils.

La leçon plus générale de cet incident est qu'aucune application ne peut assurer pleinement votre sécurité à votre place. Rester en sécurité exige des habitudes, pas seulement des outils. Savoir d'où vient votre logiciel et faire preuve de scepticisme lorsque quelque chose ne semble pas correct demeure l'une des défenses les plus efficaces à la disposition de tout utilisateur.

// FAQ

Qui était responsable de l'attaque par faux logiciel espion WhatsApp ?

Une société de surveillance italienne appelée ASIGINT, filiale d'une entreprise nommée SIO, était responsable du déploiement du logiciel espion via une application WhatsApp contrefaite.

Combien d'utilisateurs ont été touchés par la fausse application WhatsApp ?

Environ 200 utilisateurs ont été touchés, principalement situés en Italie, dans le cadre d'une campagne décrite comme très ciblée.

L'attaque a-t-elle exploité une vulnérabilité dans le code de WhatsApp ?

Non, l'attaque ne reposait sur aucune faille technique dans WhatsApp lui-même, mais utilisait plutôt l'ingénierie sociale pour inciter les gens à télécharger l'application frauduleuse.

Qu'a fait WhatsApp après avoir identifié les comptes concernés ?

WhatsApp a déconnecté les utilisateurs concernés de la plateforme et les a invités à trouver et supprimer l'application frauduleuse de leurs appareils.

Est-ce la première fois que Meta est confrontée à une activité de logiciel espion liée à l'Italie ?

Non, c'est la deuxième fois en 15 mois que Meta aborde publiquement une activité de logiciel espion liée à l'Italie.

Une société de surveillance italienne a utilisé une fausse application WhatsApp pour déployer un logiciel espion

À quoi ressemble concrètement l'ingénierie sociale

Un problème récurrent avec les logiciels espions commerciaux

Ce que cela signifie pour vous

// FAQ

// Similaires