Les failles permettant de pirater un compte WhatsApp sont devenues une véritable monnaie d’échange sur le marché des vulnérabilités. Au fil des années, les primes offertes aux chercheurs qui découvrent ces failles, permettant d’accéder aux messages d’une cible, ont connu une nette augmentation.
Les failles de sécurité « zéro day » de WhatsApp sont particulièrement prisées, selon les informations de TechCrunch. D’après le média, une vulnérabilité non divulguée et non corrigée de la messagerie peut parfois se négocier pour plusieurs millions de dollars sur le marché.
Depuis 2021, une faille permettant de compromettre le compte WhatsApp d’un utilisateur de smartphone Android a une valeur allant de 1,7 à 8 millions de dollars. Certaines entreprises, qu’elles soient privées ou gouvernementales, sont en effet prêtes à débourser une fortune pour accéder aux messages échangés sur WhatsApp par des individus.
Il y a deux ans, une société non nommée avait commercialisé une telle faille WhatsApp pour 1,7 million de dollars. Cette vulnérabilité permettait à l’attaquant d’exécuter du code à distance sur le smartphone de la cible, lui permettant ainsi d’espionner les messages et de les transférer sur un serveur distant. Le point notable était que cette faille était « zéro clic », signifiant qu’aucune interaction de la cible n’était nécessaire.
Récemment, une société russe nommée Operation Zero a revu à la hausse les prix qu’elle offre pour de telles failles de sécurité. Elle propose désormais de 200 000 à 20 millions de dollars pour une vulnérabilité WhatsApp sur Android ou iOS. Une fois achetée, cette faille est revendue à des « organisations privées et gouvernementales russes », selon Operation Zero.
Selon Sergey Zelenyuk, PDG d’Operation Zero, les failles pour les téléphones mobiles sont actuellement les produits les plus coûteux et sont principalement utilisées par des acteurs gouvernementaux. Les prix ont considérablement augmenté ces dernières années en raison de l’amélioration des mises à jour et des mécanismes de sécurité sur les smartphones, ainsi que du contexte géopolitique, notamment l’invasion russe en Ukraine.
Sans surprise, WhatsApp est une cible de choix pour les experts en cyberespionnage, en particulier ceux travaillant pour des gouvernements. L’espionnage des conversations WhatsApp d’une cible peut fournir une multitude d’informations précieuses.
« Les acheteurs de failles sont intéressés par ce que les failles leur permettent de faire, à savoir espionner leurs cibles », explique un chercheur en sécurité anonyme à TechCrunch.
Dans certains cas, les attaquants n’ont même plus besoin de compromettre l’ensemble du smartphone. Dans d’autres cas, ils utilisent l’accès à WhatsApp comme point de départ pour prendre le contrôle total du téléphone. Les failles « zéro day » représentent une menace unique, sans marge d’erreur, offrant un avantage sans précédent aux attaquants, d’où leur grande valeur sur le marché.
Laisser un commentaire à ce sujet