Le populaire service de messagerie mobile WhatsApp dispose de sa propre version sur ordinateur, baptisée WhatsApp Web. Le service permet aux utilisateurs d'utiliser WhatsApp dans leur navigateur web - du moins s'ils utilisent Google Chrome et n'essaient pas de lier leur compte Web WhatsApp à un iPhone.
Bien sûr, nous sommes particulièrement intéressés par les performances de WhatsApp Web en termes de sécurité. Et même si la version web n'est disponible que depuis quelques semaines, nous avons déjà découvert certaines lacunes en matière de sécurité et des incidents de sécurité se sont déjà produits.
Une interaction laborieuse entre la version mobile et la version Web
Indrajeet Bhuyan, un blogueur technologique et chercheur en sécurité de 17 ans originaire d'Inde, a découvert des bugs notables mais non critiques dans l'interaction entre WhatsApp Web et la version mobile originale. Selon un billet de WhatsApp, la version Web n'est qu'une extension de l'application mobile de WhatsApp et affiche dans Chrome les conversations qui ont eu lieu sur l'appareil mobile. Les utilisateurs ne peuvent utiliser WhatsApp Web que si leur appareil mobile (pas iOS) n'est pas connecté à Internet.
La plupart des erreurs dans WhatsApp Web seront probablement liées à l'application mobile, comme le montrent déjà les erreurs trouvées par Bhuyan.
L'une de ces erreurs est liée aux photos supprimées et au fonctionnement de la synchronisation entre le mobile et l'application web. Si un utilisateur relie WhatsApp au nouveau service Web et supprime une photo, celle-ci est effectivement supprimée dans l'application mobile. Mais selon M. Bhuyan, ces photos supprimées restent visibles dans la version web. Toutefois, lorsque des messages sont supprimés dans l'application mobile, ils le sont également dans l'application web.
L'autre bug découvert par Bhuyan se trouve dans les paramètres de confidentialité du profil. Les utilisateurs peuvent y définir si leur photo de profil est visible pour tout le monde, seulement pour leurs propres contacts ou pour personne. Toutefois, si vous choisissez de ne montrer la photo qu'à vos contacts, la photo sera toujours, selon M. Bhuyan, montrée à tous les utilisateurs de l'application web. Dans la vidéo suivante, vous pouvez le voir par vous-même :
Bhuyan a publié une brève analyse de ses recherches sur son blog. Il y publie des articles techniques depuis qu'il a 14 ans. Il dit qu'il a déjà contacté WhatsApp à ce sujet et que la société y travaille déjà. WhatsApp n'a pas encore répondu à notre demande de commentaires.
Gare aux escroqueries sur WhatsApp
L'expert de Kaspersky, Fabio Assolini, a fait des recherches sur les escroqueries qui exploitent l'intérêt public dans WhatsApp. Dans une telle escroquerie, les auteurs falsifient la page d'installation de WhatsApp et installent à la place une extension suspecte pour Google Chrome. Pour installer WhatsApp Web, les utilisateurs doivent se rendre sur web.whatsapp.com et prendre une photo du code QR qui y est visible avec leur téléphone portable. Il est clair que les fraudeurs publient immédiatement de faux sites web qui contiennent un QR Code malveillant qui infecte les utilisateurs. Suivez donc ce conseil : lorsque vous installez WhatsApp Web, assurez-vous de toujours vous rendre sur le bon site.
En fait, la fraude impliquant de prétendues versions informatiques de WhatsApp dure depuis plus longtemps que WhatsApp Web, comme le souligne M. Assolini. Plusieurs domaines malveillants ont diffusé des chevaux de Troie bancaires brésiliens comme versions présumées de WhatsApp pour Windows. Et un autre groupe de cybercriminels a abusé du désir des utilisateurs d'une version web de WhatsApp pour collecter des numéros de téléphone pour des escroqueries par SMS surtaxés, où les numéros de téléphone portable étaient enregistrés pour des services SMS coûteux que les victimes devaient ensuite payer - de l'argent qui allait en grande partie aux escrocs.