En contact avec nos consœurs et confrères de Numérama, Tristan Graniet, informaticien et expert en sécurité, leur a communiqué une de ces découverte : il peut accéder aux informations de différents utilisateurs de WhatsApp sans même avoir de liens avec eux. Il a ainsi pu récupérer les numéros de téléphone de personnalités politiques comme Benjamin Griveaux.
Utilisée pour le chiffrement de ses messages envoyés, WhatsApp est une bonne solution pour discuter de manière sécurisée pour une personne dont les données pourraient attirer les convoitises. Mais personne n’est parfait et le système de la messagerie appartenant à Facebook a aussi ses failles.
Une liste de contacts à décrypter
Pour avoir accès à ce genre de contacts, il a fallu que Tristan utilise un logiciel qu’il avait créé : Operative Framework. Avec ce logiciel, il a pu récupérer des numéros de téléphones qui se sont tous ajoutés dans un fichier vCard (fichier qui regroupe différents contacts téléphoniques).
Il a ensuite du ajouter ce vCard dans son compte iCloud et le lier avec un module de son Operative Framework nomme « WhatsApp Extractor » qui a pu ensuite créer une liste des contacts avec leur photo de profil, leur numéro de téléphone, etc.
Il n’est pas possible d’avoir le nom du contact mais avec la photo de profil on peut vite faire le rapprochement. Une vidéo sur YouTube expliquant le procédé a été publiée par Tristan lui même.
Pas un problème pour Facebook
Avant de laisser cette affaire se dévoiler au grand jour, Tristan a informé Facebook de sa découverte qui, après quelques investigations, a décidé que ce problème n’était pas assez grave pour être résolu par rapport aux avantages fonctionnels et commerciaux.
La découverte de cette faille nous montre également que rares sont les services qui sont irréprochables en termes de sécurité. Il y a quelques mois, un simple appel reçu sur l’application pouvait exécuter du code à distance.
Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Oui alors a priori ils ne peuvent pas lire le contenu des messages/appel, mais ils enregistrent tout le reste, avec qui tu parles, combien de messages tu envoies, qui tu appelles, le temps de la communication, etc
Les méta-données des messages.
Bah oui tu surveilles et tu vois que tout part sur les serveurs de whatsapp. Après sur leurs serveurs tu ne sais pas ce qu'ils font avec. Et je crois qu'ils partagent des infos avec Facebook (bon c'est la même boite maintenant) pour la publicité. Donc je serais bien curieux de savoir ce qu'ils partagent s'ils n'ont accès a rien?
Faut juste qu'ils comprennent que l'on peut vivre sans (ça viendra bien un jour) PS : Je n'ose pas te dire que je n'ai pas suivi GoT alors :/ En revanche autour de moi tout le monde en parlait du matin au soir... il était temps que ce cirque s'arrête
On peut se rendre compte que la clé privée n'est jamais envoyée aux serveurs de Facebook mais reste en local.
Ah oui forcément si ton argument ne fonctionne pas sur moi c'est limite que je mens ... mon pauvre !
prend surtout pas cela pour toi. c'est tout a ton honneur de ne pas utiliser ces reseaux, mais avec 2.5 milliards de compte FB, 0.3 Milliard insta et snap en exemple, on peut emettre des doutes a l'usage. tient pour rire: tous le monde autour de moi et les blog dis ne pas s'interresser a la serie game of thrones. elle a été telechargée a plus de 6Milliards de fois😂 soit presque autant que le nombre d'habitant sur terre. ils ne sont donc pas la cible. MDR😜
Même en analysant le trafic, qu'est-ce qui te prouve que le message envoyé est chiffré de bout en bout (et non déchiffré sur les serveurs de Facebook entre deux) ?
Oui. Ce n'est pas parce qu'une app n'est pas open-source qu'on ne sait rien d'elle. En particulier, on peut surveiller le traffic qui entre et qui sort.
ah oui , excuses moi. personne n'utilise les reseaux antisociaux, mille pardon😂
Heu ... perso j'ai pas toutes ces m... (FB, Twitter, ...)
roooo, je vais pas perdre mon temps hein si tu es intimement persuadé que tes données ne craignent rien, et bien ok. la vrai vie c'est le pillage de tout sur le web , et les reseaux en sont une des plus belles portes. que tu le veuilles ou non, et malgré des tas de faceID, cryptage et mots de passes sur ton precieux mobile cela c'est du marketing produit allez hop tient -facebook 2018, plus de 50 millions d'utilisateurs et leurs données personnes.
Ah ouais ... 09/06/2017 T'as pas plus vieux encore ?
inutile de rentrer dans un debat d'expert, ces reseaux sont des passoires , et les vols de données sont monnaie courante partout , juste que la drogue est tellement bonne que tout le monde y va quand meme.😂 la presse regorge de ces faits toutes les semaines. yahou, apple, sony, et les constructeurs eux meme ( chinois entre autre) https://www.phonandroid.com/apple-employe-donnees-client.html https://www.itespresso.fr/adobe-sony-ebay-15-vols-donnees-emblematiques-2014-85493.html https://siecledigital.fr/2018/10/24/yahoo-dedommage-utilisateurs/ etc 👍
on arrete pas les scandales de vols de données sur ses reseaux , et tous le monde s'en fou visiblement. crypyté ou pas c'est de la blague maintenant que nos hommes politiques n'aient pas une bonne regle dictée par le gouvernement avec zero reseaux sociaux a la c... ca c'est pas normal par ailleurs cela eviterait les messages sans controle, car les aneries lachées sont nombreuses😂
Déchiffrer*
Tu peux les importer automatiquement via un fichier vcard par l'interface web de Google Contacts ou iCloud et ensuite les synchroniser avec ton téléphone. C'est exactement ce qu'a fait l'ingénieur qui a repéré la "faille".
et découverte, j'aurais mis un 's', mais du coup j'ai un doute en fait... EDIT : "il a vendu un de ses chevaux", donc oui, j'écrirais bien découverte<b>s</b>.
"Utilisée pour le chiffrement de ses messages envoyés, WhatsApp est une bonne solution pour discuter de manière sécurisée pour une personne dont les données pourraient attirer les convoitises" Mdr avec Facebook qui gère les données vous y croyez vraiment? vaut mieux utiliser Signal qui est open source ;)
Je vais mettre une photo de Macron, ça va être drôle si un gars tombe sur moi en utilisant cette technique 😂 Bon sinon je suis d'accord avec toi, ça n'a rien d'un bug. WhatsApp pourrait néanmoins changer le paramétrage par défaut de la photo pour ne l'afficher qu'à nos contacts.
Merci pour cette précision ! Beaucoup d'articles, dont celui-ci, font le buzz sur une faille de WhatsApp alors qu'il s'agit d'une fonctionnalité et qu'on peut s'en protéger facilement depuis les paramètres de l'application...
Que nenni. Lis l'article, tu comprendras que ce n'est pas une faille.
Tellement vieux... Dyrk (Google: dyrk WhatsApp) en a fait un article très très bien détaillé pour les tous,e septembre 2018...
Ce n'est pas du tout une faille. Le mec enregistre les numéros de gens inconnus dans son téléphone et regarde la photo associée à chacun dans WhatsApp. Parfois, il tombe sur quelqu'un de connu. Pour s'en prémunir, il suffit de bloquer l'affichage de sa photo à tous les gens qu'on n'a pas, soi-même, dans sa liste de contacts.
en gros cette appli c de la daube y a toujours un prob avec faut la boycotte
On peut imaginer ça en effet. Mais à priori, la clé privée reste stockée uniquement en local.
Ca, comme expliqué, ça se fait manuellement (visuellement en espérant reconnaître un visage connu). Mais il décrit également que du machine learning type Google Image pourrait automatiser également cette étape.
Ce n'est pas un vol de données là.
Et pour "trier" les photos ensuite dans whatsapp ?
Qu'est ce qu'ils font de plus?
Qu'est ce qu'ils font de plus?
Mouais j'en serais pas si sur, quand on apprend que Facebook utilisait les mots de passe en clair des comptes Snapchat avec ses employés, moi j'y crois pas qu'ils n'y ont pas accès pour les messages Whatsapp du coup. Ils sauvent ta clef de cryptage dans un coin a tout les coups.
Mouais j'en serais pas si sur, quand on apprend que Facebook utilisait les mots de passe en clair des comptes Snapchat avec ses employés, moi j'y crois pas qu'ils n'y ont pas accès pour les messages Whatsapp du coup. Ils sauvent ta clef de cryptage dans un coin a tout les coups.
Ils peuvent avoir accès uniquement aux metadata du message (et s'en servent probablement), mais ne peuvent pas lire son contenu.
Pour les discussions de groupe, Whatsapp, Telegram, etc sont plus pratiques
Mh, tu es sur ? Je vois mal le gars se faire chier à rentrer des millions de numéros dans son répertoire pour trouver quelqu'un de connu (-:
Go utiliser Signal, dans tous les cas ça reste Facebook donc bon tes données malgré le cryptage ils les utilisent sans aucun doute.
Ahaha bien vu jm'étais arrêté a la première ^^
"une de <b>ces</b> découverte" Ça pique ^^
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix