C’est la société américaine de sécurité informatique Check Point Software Technologies qui a découvert la faille. Elle a alerté Telegram et WhatsApp le 8 mars et le problème a déjà été résolu. La société ne dit pas combien de comptes ont effectivement pu être compromis, mais assure que cette faille représentait un danger pour « des centaines de millions » d’utilisateurs accédant aux plateformes à partir d’un navigateur Internet. Ceux qui passaient par les applications mobiles proposées par WhatsApp, filiale de Facebook, et Telegram, n’étaient pas concernés.

D’après les chercheurs de Check Point, « rien qu’en envoyant une photo d’allure innocente, un attaquant pouvait prendre le contrôle du compte, accéder à l’historique des messages, à toutes les photos jamais partagées (sur le service), et envoyer des messages à la place de l’utilisateur ». Le pirate pouvait camoufler un virus dans une image, qui s’activait quand le destinataire cliquait dessus.

Le chiffrement contourné

En matière de sécurité, WhatsApp qui revendique un milliard d’utilisateurs et Telegram qui en compte cent millions utilisent un chiffrement de bout en bout. D’ailleurs, Telegram est souvent citée comme un des moyens de communication préférés des djihadistes, car son chiffrement met leurs messages à l’abri des autorités. Ce système garantit que seul l’expéditeur et le destinataire des messages peuvent voir leur contenu. A cause du chiffrement, les deux applications n’avaient pas moyen de détecter si le contenu échangé comprenait des virus.

Pour remédier à cette faille, les deux services valident désormais le contenu expédié juste avant qu’il soit chiffré, ce qui permet de bloquer les virus, d’après Check Point.

Des limites déjà mises en lumière

Des limites de la protection apportée par les systèmes de chiffrement ont déjà été révélées par Wikileaks. L’organisation avait rendu public au début du mois près de 9.000 documents détaillant des outils de piratage informatique utilisés par la CIA.

Certains permettaient de prendre directement le contrôle du smartphone d’un utilisateur, et ainsi de contourner les systèmes de protection d’applications comme WhatsApp et Telegram, ou aussi Signal, Weibo et Confide, en capturant les communications avant qu’elles ne soient cryptées.