Sécurité : une faille dans WhatsApp permet d'espionner les conversations de groupe
D'autres applications de messagerie sont affectées

Le , par Patrick Ruiz, Chroniqueur Actualités
Des chercheurs en sécurité ont publié les détails d’une faille de sécurité au sein de l’application de messagerie WhatsApp. Son exploitation permet d’espionner les conversations de groupe sur la plateforme. Elle requiert néanmoins que l’attaquant ait accès aux serveurs de la société derrière l’application pour arriver à ses fins.

Il s’agit de développements intéressants pour les gouvernements qui peinent face au chiffrement de bout en bout implémenté sur cette plateforme. Les États-Unis ont fait état de la difficulté d’avancer dans des enquêtes en 2014 à cause de la sécurité dont la plateforme s’est dotée grâce à un partenariat avec Open Whisper Systems. Plus récemment en 2017, l’Angleterre a, pour les mêmes raisons, demandé l’installation d’une porte dérobée sur ce qu’elle considère comme un « trou noir ». Aussi, toute vulnérabilité qui pourrait servir de base à une collaboration entre l’entreprise et les gouvernements est la bienvenue pour ces derniers.

D’après ce que rapporte le magazine Wired, la vulnérabilité dévoilée lors de la Real World Crypto security conference affecte également les applications de messagerie Signal et Threema, mais à un degré moindre. Elle consiste en la possibilité dont dispose un attaquant, limité par la condition énumérée d’entrée de jeu, d’insérer de nouveaux participants à un groupe de discussion privé sans la permission de l’administrateur. En cause ici, le manque de sécurisation du mécanisme de génération d’une invitation. « Un groupe WhatsApp peut inviter de nouveaux membres, mais la plateforme n’utilise aucun mécanisme d’authentification que ses propres serveurs ne soient à même d’espionner », rapporte Wired.

La conséquence est que celui qui contrôle le serveur peut ajouter de nouveaux membres sans interaction de l’administrateur, ce, avec la possibilité de rendre la manœuvre furtive en retardant les notifications destinées aux autres membres du groupe. Les nouveaux venus reçoivent les clés secrètes des autres participants, ce qui leur ouvre une voie royale vers les contenus diffusés dans le groupe après leur ajout. Wired ajoute que les messages antérieurs à la présence des intrus ne leur sont pas accessibles. Par contre, fonctionnalité qui pourrait s’avérer intéressante pour exercer la censure : le nouvel arrivant peut effectuer un blocage sélectif des messages dans le groupe.


Un porte-parole de WhatsApp s’est exprimé sur la question. La propriété de Facebook estime, par sa voix, que les révélations du groupe de chercheurs de l’université de Ruhr en Allemagne sont essentiellement théoriques. Pour les responsables de la plateforme, les participants à un groupe de discussion reçoivent malgré tout les notifications d’ajout de nouveaux membres. « Sous WhatsApp, les messages de groupe ne peuvent être transmis à un utilisateur masqué », a insisté l’entreprise.

Le groupe de chercheurs, qui a révélé la faille à l’entreprise en juillet dernier, suggère de résoudre la vulnérabilité en procédant à l’ajout d’invitations dotées d’un mécanisme d’authentification dont l’administrateur seul possède la clé. La manœuvre conduirait WhatsApp à supprimer le « lien d’ajout au groupe », ce à quoi l’entreprise semble être réfractaire pour le moment.

Pour s’extirper des craintes de collusion avec une quelconque agence gouvernementale, les responsables de WhatsApp ont ajouté que « du point de vue de la furtivité, la technique ne constitue pas un bon parti pour les gouvernements. Sur le long terme en effet, les utilisateurs se rendront compte de l’apparition d’intrus dans leurs groupes de conversation. »

Source

Wired

Votre opinion

Quel est votre avis en ce qui concerne le positionnement de WhatsApp ?

Voir aussi

WhatsApp : une faille dans l'implémentation du protocole Signal permet d'espionner des messages, d'après un chercheur


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de spyserver spyserver - Membre averti https://www.developpez.com
le 15/01/2018 à 10:12
Ca me fait toujours rigoler ce genre de "faille" qui requiert l'accès au backend derrière ... ah bon ? si on a accès au serveur on peut faire des choses ?!
Avatar de Volgaan Volgaan - Membre averti https://www.developpez.com
le 15/01/2018 à 11:57
Quelle faille : on peut ajouter des participants à un groupe qui pourra voir les nouveaux messages postés

Participant qui sera visible de tous sur le groupe, donc niveau discrétion...
Avatar de athlon64 athlon64 - Membre confirmé https://www.developpez.com
le 15/01/2018 à 19:30
En fiscalité, une faille est un mécanisme créé ou laissé actif volontairement, permettant à des acteurs privés de frauder l'impôt légalement au dépend des États et des Peuples.


Ah zut me suis trompé là on est en informatique c'est ça ... ?

Difficile de faire la part des choses avec ces groupes américains
Avatar de MikeRowSoft MikeRowSoft - I.A. en bêta-test https://www.developpez.com
le 20/01/2018 à 10:18
Oui, la touche américaine à bien été observé.

Pré requis de l'installation, "fouiller et envoyer les numéros de téléphones des contacts aux serveurs pour vérifier si oui ou non les contacts ont déjà souscrit".
Contacter le responsable de la rubrique Accueil