Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sécurité : une faille dans WhatsApp permet d'espionner les conversations de groupe
D'autres applications de messagerie sont affectées

Le , par Patrick Ruiz

77PARTAGES

4  0 
Des chercheurs en sécurité ont publié les détails d’une faille de sécurité au sein de l’application de messagerie WhatsApp. Son exploitation permet d’espionner les conversations de groupe sur la plateforme. Elle requiert néanmoins que l’attaquant ait accès aux serveurs de la société derrière l’application pour arriver à ses fins.

Il s’agit de développements intéressants pour les gouvernements qui peinent face au chiffrement de bout en bout implémenté sur cette plateforme. Les États-Unis ont fait état de la difficulté d’avancer dans des enquêtes en 2014 à cause de la sécurité dont la plateforme s’est dotée grâce à un partenariat avec Open Whisper Systems. Plus récemment en 2017, l’Angleterre a, pour les mêmes raisons, demandé l’installation d’une porte dérobée sur ce qu’elle considère comme un « trou noir ». Aussi, toute vulnérabilité qui pourrait servir de base à une collaboration entre l’entreprise et les gouvernements est la bienvenue pour ces derniers.

D’après ce que rapporte le magazine Wired, la vulnérabilité dévoilée lors de la Real World Crypto security conference affecte également les applications de messagerie Signal et Threema, mais à un degré moindre. Elle consiste en la possibilité dont dispose un attaquant, limité par la condition énumérée d’entrée de jeu, d’insérer de nouveaux participants à un groupe de discussion privé sans la permission de l’administrateur. En cause ici, le manque de sécurisation du mécanisme de génération d’une invitation. « Un groupe WhatsApp peut inviter de nouveaux membres, mais la plateforme n’utilise aucun mécanisme d’authentification que ses propres serveurs ne soient à même d’espionner », rapporte Wired.

La conséquence est que celui qui contrôle le serveur peut ajouter de nouveaux membres sans interaction de l’administrateur, ce, avec la possibilité de rendre la manœuvre furtive en retardant les notifications destinées aux autres membres du groupe. Les nouveaux venus reçoivent les clés secrètes des autres participants, ce qui leur ouvre une voie royale vers les contenus diffusés dans le groupe après leur ajout. Wired ajoute que les messages antérieurs à la présence des intrus ne leur sont pas accessibles. Par contre, fonctionnalité qui pourrait s’avérer intéressante pour exercer la censure : le nouvel arrivant peut effectuer un blocage sélectif des messages dans le groupe.


Un porte-parole de WhatsApp s’est exprimé sur la question. La propriété de Facebook estime, par sa voix, que les révélations du groupe de chercheurs de l’université de Ruhr en Allemagne sont essentiellement théoriques. Pour les responsables de la plateforme, les participants à un groupe de discussion reçoivent malgré tout les notifications d’ajout de nouveaux membres. « Sous WhatsApp, les messages de groupe ne peuvent être transmis à un utilisateur masqué », a insisté l’entreprise.

Le groupe de chercheurs, qui a révélé la faille à l’entreprise en juillet dernier, suggère de résoudre la vulnérabilité en procédant à l’ajout d’invitations dotées d’un mécanisme d’authentification dont l’administrateur seul possède la clé. La manœuvre conduirait WhatsApp à supprimer le « lien d’ajout au groupe », ce à quoi l’entreprise semble être réfractaire pour le moment.

Pour s’extirper des craintes de collusion avec une quelconque agence gouvernementale, les responsables de WhatsApp ont ajouté que « du point de vue de la furtivité, la technique ne constitue pas un bon parti pour les gouvernements. Sur le long terme en effet, les utilisateurs se rendront compte de l’apparition d’intrus dans leurs groupes de conversation. »

Source

Wired

Votre opinion

Quel est votre avis en ce qui concerne le positionnement de WhatsApp ?

Voir aussi

WhatsApp : une faille dans l'implémentation du protocole Signal permet d'espionner des messages, d'après un chercheur

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de spyserver
Membre averti https://www.developpez.com
Le 15/01/2018 à 10:12
Ca me fait toujours rigoler ce genre de "faille" qui requiert l'accès au backend derrière ... ah bon ? si on a accès au serveur on peut faire des choses ?!
1  0 
Avatar de
https://www.developpez.com
Le 20/01/2018 à 10:18
Oui, la touche américaine à bien été observé.

Pré requis de l'installation, "fouiller et envoyer les numéros de téléphones des contacts aux serveurs pour vérifier si oui ou non les contacts ont déjà souscrit".
1  0 
Avatar de Volgaan
Membre confirmé https://www.developpez.com
Le 15/01/2018 à 11:57
Quelle faille : on peut ajouter des participants à un groupe qui pourra voir les nouveaux messages postés

Participant qui sera visible de tous sur le groupe, donc niveau discrétion...
0  0 
Avatar de athlon64
Membre confirmé https://www.developpez.com
Le 15/01/2018 à 19:30
En fiscalité, une faille est un mécanisme créé ou laissé actif volontairement, permettant à des acteurs privés de frauder l'impôt légalement au dépend des États et des Peuples.


Ah zut me suis trompé là on est en informatique c'est ça ... ?

Difficile de faire la part des choses avec ces groupes américains
0  0 

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web