Photo WhatsApp dangereuse en format DNG - Utilisez seulement le format JPG !

Une photo WhatsApp peut-elle vraiment permettre à un pirate de prendre le contrôle de votre téléphone ?

C’est théoriquement possible via l’exploitation d’une vulnérabilité logicielle, mais uniquement dans des conditions très spécifiques. 

Vous recevez une photo sur WhatsApp, peut-être d'un numéro inconnu, vous l'ouvrez distraitement... et sans le savoir. Vous venez d'offrir les clés de votre téléphone à un pirate. Ce scénario, digne d'un film d'espionnage, a pourtant un fond de vérité technique. Des vulnérabilités réelles ont montré qu'une simple image DNG pouvait, sans aucune interaction de l'utilisateur, exécuter du code malveillant.

Pour comprendre le danger, il faut d'abord dissiper un mythe : une image (format JPEG, PNG, etc.) n'est pas un programme exécutable. En temps normal, elle ne contient que des données de couleurs et de luminosité destinées à être affichées à l'écran. Elle ne peut pas "s'exécuter" d'elle-même.

Le problème ne vient pas de l'image, mais du logiciel qui l'ouvre. Pour décoder et afficher une photo, WhatsApp (ou le système d'exploitation) utilise des bibliothèques de traitement d'images, aussi appelées codecs. Ce sont des morceaux de code conçus pour lire les spécifications techniques d'un fichier image. Un attaquant va alors créer une image piégée : soit en dissimulant du code malveillant dans les métadonnées (zone souvent négligée), soit en fabriquant un fichier malformé qui ne respecte pas les standards.

Lorsque le codec analyse cette image anormale, une faille de programmation (par exemple, une lecture hors mémoire ou un défaut de validation) peut être exploitée. Cette faille va tromper le logiciel, l'amenant à exécuter le code caché par le pirate au lieu de simplement afficher l'image. Pour qu'une photo devienne une arme, plusieurs conditions doivent être réunies :

• L'existence d'une vulnérabilité non corrigée dans le codec utilisé par WhatsApp ou le système.
  
  
• Un programme malveillant (appelé "exploit") conçu spécifiquement pour activer cette faille.
  
  
• Que le téléphone de la cible analyse automatiquement l'image reçue.
  
  
• Que la cible n'ait pas modifié ses paramètres de téléchargement automatique.

Attaque zero-click WhatsApp : comment un pirate peut infecter votre téléphone sans action de votre part ?

Ce qui rend ce scénario angoissant, c'est la notion d'attaque "zero-click". Contrairement à une arnaque classique où il faut cliquer sur un lien ou ouvrir une pièce jointe, l'attaque zero-click ne nécessite aucune interaction de la victime. La simple réception du fichier suffit à déclencher l'infection.

Sur WhatsApp, par défaut, les photos et vidéos sont téléchargées automatiquement dès que vous êtes connecté à un réseau Wi-Fi ou mobile. Ce paramétrage, pensé pour le confort d'utilisation, devient le vecteur d'attaque. Dès que l'image malveillante est téléchargée sur votre appareil, le système d'exploitation ou l'application va automatiquement faire appel aux codecs pour générer une miniature, analyser le fichier ou le préparer pour un éventuel affichage. C'est à ce moment précis, dans ce processus automatique et invisible, que la vulnérabilité est exploitée.

Il est cependant essentiel de comprendre la rareté et la complexité de ces attaques.

Source:  ICI.