Si Facebook a assuré que personne, y compris lui, ne pouvait être en mesure d’intercepter les communication de sa messagerie mobile Whatsapp, des chercheurs ont mis le doigt sur une vulnérabilité dans la mise en œuvre du protocole de chiffrement de bout en bout.de WhatsApp qui pourrait permettre à l’entreprise de lire des messages. Pour les défenseurs de la vie privée numérique, cette vulnérabilité est une « énorme menace pour la liberté d'expression », notamment parce qu’elle peut être utilisée par des agences gouvernementales comme porte dérobée pour espionner les utilisateurs qui croient que leurs messages sont sécurisés.
Le chiffrement de bout en bout de WhatsApp repose sur la génération de clés de sécurité uniques, en utilisant le protocole Signal, développé par Open Whisper Systems, qui sont échangées et vérifiées entre les utilisateurs pour garantir que les communications sont sécurisées et ne peuvent pas être interceptées par un intermédiaire. Toutefois, WhatsApp a la capacité de forcer la génération de nouvelles clés de chiffrement pour les utilisateurs hors connexion, à l'insu de l'expéditeur et du destinataire des messages, et de faire en sorte que l'expéditeur chiffre à nouveau les messages avec de nouvelles clés et leur renvoie alors tout message qui n'a pas été marqué comme étant livré.
Tobias Boelter, un chercheur en cryptographie et sécurité à l'Université de Californie à Berkeley qui a découvert la faille. a expliqué que « si une agence gouvernementale demande à WhatsApp de divulguer ses dossiers de messagerie, il pourra effectivement y avoir accès en raison du changement de clés ».
La vulnérabilité n'est pas inhérente au protocole Signal : pour ce dernier, si un destinataire modifie la clé de sécurité en mode hors connexion, par exemple, un message envoyé ne sera pas reçu et l'expéditeur sera informé de la modification des clés de sécurité sans pour autant avoir à renvoyer automatiquement le message. Ce qui n’est pas le cas avec l’implémentation de WhatsApp qui renvoie automatiquement un message non livré avec une nouvelle clé sans avertir l'utilisateur à l'avance ou sans lui donner la possibilité de l'empêcher.
Boelter a signalé la vulnérabilité à Facebook en avril 2016, qui lui a répondu être au courant de cette situation qui est un « comportement attendu ».
Steffen Tor Jensen, responsable de la sécurité de l'information et de la contre-surveillance numérique à l'Organisation européenne des Bahreïnistes pour les droits de l'homme, a vérifié les conclusions de Boelter. Il a soutenu que « WhatsApp peut effectivement continuer à envoyer les clés de sécurité lorsque les périphériques sont hors ligne et renvoyer le message, sans laisser les utilisateurs être au courant du changement jusqu'à ce qu'il a été fait, fournissant une plateforme extrêmement insécurisée ».
Boelter a déclaré « [certains] pourraient dire que cette vulnérabilité ne peut être exploitée que pour lire “des messages ciblés à la fois” et non des conversations entières. Cela n'est pas vrai si vous considérez que le serveur WhatsApp peut simplement transférer des messages sans envoyer la notification "message reçu par le destinataire" (la double coche), que les utilisateurs pourraient ne pas remarquer. À l'aide de la vulnérabilité de retransmission, le serveur WhatsApp peut ensuite obtenir une transcription de la conversation entière, pas seulement d’un seul message ».
Un porte-parole de WhatsApp a déclaré que « plus d’un milliard de personnes utilisent WhatsApp aujourd'hui parce qu’il est simple, rapide, fiable et sécurisé. Chez WhatsApp, nous avons toujours cru que les conversations des gens devraient être sécurisées et privées. L'année dernière, nous avons donné à tous nos utilisateurs un meilleur niveau de sécurité en chiffrant de bout en bout par défaut tous les messages, photos, vidéos, fichiers et appels. Comme nous l'avons fait en présentant des fonctionnalités à l’instar du chiffrement de bout en bout, nous nous concentrons sur le maintien de la simplicité du produit et prenons en considération la façon dont il est utilisé tous les jours dans le monde ».
« Dans la mise en œuvre WhatsApp du protocole Signal, nous avons un paramètre "Afficher les notifications de sécurité« (option disponible sous Paramètres > Compte> Sécurité) qui vous informe lorsque le code de sécurité d'un contact a changé. Nous savons que les raisons les plus fréquentes sont que quelqu'un a changé de téléphone ou réinstallé WhatsApp. C'est parce que dans beaucoup de parties du monde, les gens changent fréquemment de dispositifs et de cartes de Sim. Dans ces situations, nous voulons nous assurer que les messages sont livrés et non perdus en transit ».
À la question de savoir si Facebook avait accédé aux messages des utilisateurs et s'ils l'avaient fait à la demande des agences gouvernementales ou d'autres tiers, WhatsApp a déclaré que « WhatsApp ne donne pas aux gouvernements une “porte dérobée” dans ses systèmes et se battra contre toute demande du gouvernement visant à créer une porte dérobée ».
WhatsApp a fait de la vie privée et de la sécurité ses arguments principaux de vente. Au même titre que d’autres outils de communications sécurisés, WhatsApp a été utilisé aussi bien par des activistes que par des criminels.
Source : The Guardian
WhatsApp : une faille dans l'implémentation du protocole Signal permet d'espionner des messages
D'après un chercheur
WhatsApp : une faille dans l'implémentation du protocole Signal permet d'espionner des messages
D'après un chercheur
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !