Une faille de sécurité a été découverte dans WhatsApp permettant de s’introduire dans une conversation de groupe privée. Le chargé de la sécurité de l’application est conscient de la faille, mais ne la trouve pas assez importante pour y remédier.

WhatsApp, comme beaucoup d’applications de messageries instantanées, propose des messages chiffrés de bout en bout, une fonctionnalité qui s’étend même aux discussions de groupe. Malheureusement, le système n’est pas infaillible.

Des groupes pas assez privés

Des chercheurs de l’Université de la Ruhr, en Allemagne, ont présenté ce mercredi, à la conférence Real World Crypto de Zurich dédiée à la sécurité, un rapport sur le chiffrement des applications de messagerie, dont WhatsApp, Signal ou encore Threema. Un long dossier de 30 pages sur le sujet peut d’ailleurs être consulté en ligne.

Il y est expliqué que n’importe qui pouvant contrôler les serveurs de WhatsApp peut ajouter, sans la moindre permission supplémentaire, une personne dans un groupe de discussion privé. Une fois dans le groupe, cette personne reçoit alors automatiquement les clés de chiffrement de la conversation de tous les participants, ce qui lui permet de consulter tous les nouveaux messages publiés dans ce groupe. Il est cependant précisé que les messages publiés avant l’arrivée de la taupe dans le groupe ne peuvent pas être consultés pour autant.

Paul Rösler, co-auteur du papier, indique que « si j’entends qu’il existe un chiffrement de bout en bout pour les groupes et les communications à deux, cela signifie que l’ajout de nouveaux membres devrait être protégé. Sinon, l’intérêt du chiffrement est vraiment très faible ».

« Le contenu reste […] protégé ».

Les chercheurs à l’origine de ce rapport indiquent avoir averti WhatsApp en juillet dernier.

Alex Stanos, responsable de la sécurité de Facebook, propriétaire de WhatsApp, s’est exprimé publiquement sur le sujet sur Twitter. Il indique être conscient du problème, mais que le fait que les participants du groupe reçoivent un message lors de l’ajout d’un nouveau membre et que les nombreux moyens de vérifier la présence d’un intrus protègent suffisamment nos communications.

Matthew Green, professeur de cryptographie à l’Université de John Hopkins, explique que cela revient à « laisser la porte d’une banque ouverte et dire que personne ne viendra la cambrioler puisqu’il y a des caméras de sécurité ». Il rajoute par ailleurs que « si vous construisez un système où tout se résume à faire confiance au serveur, vous pouvez vous passer de toute la complexité et oublier le cryptage de bout en bout ».

Aussi, même si la faille semble extrêmement difficile à exploiter puisqu’il faut d’une part avoir accès aux serveurs de la firme et d’autre part réussir à ne pas se faire remarquer en entrant dans un groupe, la confiance envers l’une des principales applications de messagerie s’émaille avec ces révélations. Rappelons tout de même qu’il s’agit d’une des rares solutions proposant du chiffrement de bout en bout pour les conversations de groupe.

À lire sur FrAndroid : La Cnil accuse WhatsApp de transmettre des données à Facebook « sans base légale »