WhatsApp, comme beaucoup d’applications de messageries instantanées, propose des messages chiffrés de bout en bout, une fonctionnalité qui s’étend même aux discussions de groupe. Malheureusement, le système n’est pas infaillible.
Des groupes pas assez privés
Des chercheurs de l’Université de la Ruhr, en Allemagne, ont présenté ce mercredi, à la conférence Real World Crypto de Zurich dédiée à la sécurité, un rapport sur le chiffrement des applications de messagerie, dont WhatsApp, Signal ou encore Threema. Un long dossier de 30 pages sur le sujet peut d’ailleurs être consulté en ligne.
Il y est expliqué que n’importe qui pouvant contrôler les serveurs de WhatsApp peut ajouter, sans la moindre permission supplémentaire, une personne dans un groupe de discussion privé. Une fois dans le groupe, cette personne reçoit alors automatiquement les clés de chiffrement de la conversation de tous les participants, ce qui lui permet de consulter tous les nouveaux messages publiés dans ce groupe. Il est cependant précisé que les messages publiés avant l’arrivée de la taupe dans le groupe ne peuvent pas être consultés pour autant.
Paul Rösler, co-auteur du papier, indique que « si j’entends qu’il existe un chiffrement de bout en bout pour les groupes et les communications à deux, cela signifie que l’ajout de nouveaux membres devrait être protégé. Sinon, l’intérêt du chiffrement est vraiment très faible ».
« Le contenu reste […] protégé ».
Les chercheurs à l’origine de ce rapport indiquent avoir averti WhatsApp en juillet dernier.
Alex Stanos, responsable de la sécurité de Facebook, propriétaire de WhatsApp, s’est exprimé publiquement sur le sujet sur Twitter. Il indique être conscient du problème, mais que le fait que les participants du groupe reçoivent un message lors de l’ajout d’un nouveau membre et que les nombreux moyens de vérifier la présence d’un intrus protègent suffisamment nos communications.
https://twitter.com/alexstamos/status/951169174688026625
Matthew Green, professeur de cryptographie à l’Université de John Hopkins, explique que cela revient à « laisser la porte d’une banque ouverte et dire que personne ne viendra la cambrioler puisqu’il y a des caméras de sécurité ». Il rajoute par ailleurs que « si vous construisez un système où tout se résume à faire confiance au serveur, vous pouvez vous passer de toute la complexité et oublier le cryptage de bout en bout ».
Aussi, même si la faille semble extrêmement difficile à exploiter puisqu’il faut d’une part avoir accès aux serveurs de la firme et d’autre part réussir à ne pas se faire remarquer en entrant dans un groupe, la confiance envers l’une des principales applications de messagerie s’émaille avec ces révélations. Rappelons tout de même qu’il s’agit d’une des rares solutions proposant du chiffrement de bout en bout pour les conversations de groupe.
Pour aller plus loin
La Cnil accuse WhatsApp de transmettre des données à Facebook « sans base légale »
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
MMMmmm ? A moins que les serveurs de WhatsApp tournent sur un OS développé en interne, OK. Mais dans le cas contraire, à partir du moment ou tu as un serveur avec un OS type UNIX/Linux ou Windows, dans un datacenter raccordé au net alors il y a toujours une ou des faille(s) quelque part, même dernière des firewall et tout ce que tu veux. Ça peut tout autant venir du PC de la secrétaire à l'accueil qui choppe un mail vérolé, que d'un prestataire qui vient avec une clé USB douteuse, ou une faille dans le kernel Linux (il y en a juste 1 par semaine en ce moment...). Ne jamais croire que ça n'arrive qu'aux PME à la ramasse !
finis à la pisse spotted.
"Il y est expliqué que n’importe qui pouvant contrôler les serveurs de WhatsApp" J'adore la condition sine qua non de l'impossible. WhatsApp ne risque donc rien si les serveurs sont suffisamment sécurisés. Bien sûr plusieurs protections valent mieux qu'une, mais je ne pense pas que la faille de WhatsApp soit la plus importante à colmater en cas d'exploitation réussie. ;-)
J'y ai pensé aussi ! Une backdoor bien sympa car exploitable par peu de monde...
La NSA est très intéressée. Une taupe chez WhatsApp et hop :-)
Il n'empêche que c'est pas parce que la faille est protégée par un système qu'il ne faudrait pas la corriger.
Avec accès au serveur ? Ouais super...
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix