Une faille de sécurité a été découverte dans WhatsApp permettant de s’introduire dans une conversation de groupe privée. Le chargé de la sécurité de l’application est conscient de la faille, mais ne la trouve pas assez importante pour y remédier.
WhatsApp, comme beaucoup d’applications de messageries instantanées, propose des messages chiffrés de bout en bout, une fonctionnalité qui s’étend même aux discussions de groupe. Malheureusement, le système n’est pas infaillible.
Des groupes pas assez privés
Des chercheurs de l’Université de la Ruhr, en Allemagne, ont présenté ce mercredi, à la conférence Real World Crypto de Zurich dédiée à la sécurité, un rapport sur le chiffrement des applications de messagerie, dont WhatsApp, Signal ou encore Threema. Un long dossier de 30 pages sur le sujet peut d’ailleurs être consulté en ligne.
Il y est expliqué que n’importe qui pouvant contrôler les serveurs de WhatsApp peut ajouter, sans la moindre permission supplémentaire, une personne dans un groupe de discussion privé. Une fois dans le groupe, cette personne reçoit alors automatiquement les clés de chiffrement de la conversation de tous les participants, ce qui lui permet de consulter tous les nouveaux messages publiés dans ce groupe. Il est cependant précisé que les messages publiés avant l’arrivée de la taupe dans le groupe ne peuvent pas être consultés pour autant.
Paul Rösler, co-auteur du papier, indique que « si j’entends qu’il existe un chiffrement de bout en bout pour les groupes et les communications à deux, cela signifie que l’ajout de nouveaux membres devrait être protégé. Sinon, l’intérêt du chiffrement est vraiment très faible ».
« Le contenu reste […] protégé ».
Les chercheurs à l’origine de ce rapport indiquent avoir averti WhatsApp en juillet dernier.
Alex Stanos, responsable de la sécurité de Facebook, propriétaire de WhatsApp, s’est exprimé publiquement sur le sujet sur Twitter. Il indique être conscient du problème, mais que le fait que les participants du groupe reçoivent un message lors de l’ajout d’un nouveau membre et que les nombreux moyens de vérifier la présence d’un intrus protègent suffisamment nos communications.
In sum, the clear notifications and multiple ways of checking who is in your group prevents silent eavesdropping. The content of messages sent in WhatsApp groups remain protected by end-to-end encryption.
— Alex Stamos (@alexstamos) January 10, 2018
Matthew Green, professeur de cryptographie à l’Université de John Hopkins, explique que cela revient à « laisser la porte d’une banque ouverte et dire que personne ne viendra la cambrioler puisqu’il y a des caméras de sécurité ». Il rajoute par ailleurs que « si vous construisez un système où tout se résume à faire confiance au serveur, vous pouvez vous passer de toute la complexité et oublier le cryptage de bout en bout ».
Aussi, même si la faille semble extrêmement difficile à exploiter puisqu’il faut d’une part avoir accès aux serveurs de la firme et d’autre part réussir à ne pas se faire remarquer en entrant dans un groupe, la confiance envers l’une des principales applications de messagerie s’émaille avec ces révélations. Rappelons tout de même qu’il s’agit d’une des rares solutions proposant du chiffrement de bout en bout pour les conversations de groupe.
La Commission nationale de l’informatique et des libertés (Cnil) a décidé de mettre en demeure WhatsApp. Elle estime que le transfert d’une partie des données des utilisateurs du service de messagerie instantanée vers Facebook ne repose « sur…
Lire la suite
Pour nous suivre, nous vous invitons à télécharger notre application Android et iOS. Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
MMMmmm ? A moins que les serveurs de WhatsApp tournent sur un OS développé en interne, OK. Mais dans le cas contraire, à partir du moment ou tu as un serveur avec un OS type UNIX/Linux ou Windows, dans un datacenter raccordé au net alors il y a toujours une ou des faille(s) quelque part, même dernière des firewall et tout ce que tu veux. Ça peut tout autant venir du PC de la secrétaire à l'accueil qui choppe un mail vérolé, que d'un prestataire qui vient avec une clé USB douteuse, ou une faille dans le kernel Linux (il y en a juste 1 par semaine en ce moment...). Ne jamais croire que ça n'arrive qu'aux PME à la ramasse !
finis à la pisse spotted.
"Il y est expliqué que n’importe qui pouvant contrôler les serveurs de WhatsApp" J'adore la condition sine qua non de l'impossible. WhatsApp ne risque donc rien si les serveurs sont suffisamment sécurisés. Bien sûr plusieurs protections valent mieux qu'une, mais je ne pense pas que la faille de WhatsApp soit la plus importante à colmater en cas d'exploitation réussie. ;-)
J'y ai pensé aussi ! Une backdoor bien sympa car exploitable par peu de monde...
La NSA est très intéressée. Une taupe chez WhatsApp et hop :-)
Il n'empêche que c'est pas parce que la faille est protégée par un système qu'il ne faudrait pas la corriger.
Avec accès au serveur ? Ouais super...