Whatsapp : une vulnérabilité compromet le secret des conversations

Alexandre PAULSON
11 janvier 2018 à 11h58
0
Des chercheurs en cybersécurité viennent de révéler les détails d'une faille découverte chez Whatsapp. Celle-ci permet à un attaquant d'accéder au contenu de conversations en théorie secrètes et cryptées des utilisateurs de la messagerie.

Le risque est cependant limité, car l'attaquant doit, pour accéder aux discussions, intégrer le groupe qu'il cible.

Une faille découverte en juillet 2017



Comme Telegram, c'est l'une des forces de Whatsapp, et l'une des composantes de son succès : devenue en mai dernier la plus utilisée dans le monde, la messagerie, propriété de Facebook, met volontiers en avant son cryptage réputé inviolable. Un chiffrement qui lui vaut des pressions de plusieurs gouvernements dans le monde, de nombreuses enquêtes butant sur le refus de la compagnie de collaborer avec la justice.

C'est donc un sérieux coup que Whatsapp doit encaisser ces jours-ci : une équipe de chercheurs de l'Université de la Ruhr à Bochum (Allemagne) vient de révéler l'existence d'une vulnérabilité découverte en juillet dernier, et qui permet de compromettre le secret des conversations. Une faille similaire affecterait également les messageries Signal et Threema, mais à un degré moindre.

01F4000008667176-photo-whatsapp.jpg


L'attaquant jamais totalement invisible



Techniquement, la faille permet de prendre le contrôle d'un serveur appartenant à Whatsapp, et d'insérer dans n'importe quel groupe de conversation hébergé sur ce serveur un ou plusieurs nouveaux participants, sans avoir à en demander la permission à l'administrateur du groupe. Et la manoeuvre est très facile, car Whatsapp n'a prévu aucun mécanisme d'identification pour les invitations émanant de ses propres serveurs.

Une fois intégré au groupe visé, le nouveau membre a accès à l'intégralité de la conversation en cours. Mais les messages échangés avant son arrivée lui resteront inaccessibles. L'attaquant, en étant maître du serveur, pourra aussi bloquer les notifications de l'arrivée de l'intrus, et effacer à sa guise les messages produits par les membres du groupe. Whatsapp se veut rassurant, en rappelant que deux membres pourront toujours communiquer en ligne directe s'ils ont un doute sur un nouvel invité, et qu'un intrus ne sera jamais totalement invisible.

Modifié le 01/06/2018 à 15h36
Sélection Clubic VPN 2019

Les actualités récentes les plus commentées

La Tesla Model 3 perd les faveurs de l'Europe, qui lui préfère la future Renault ZOE 2
Netflix augmente ses tarifs en France dès aujourd'hui
Bill Gates considère que
Un outil destiné aux forces de l'ordre capable de déverrouiller quasiment tous les smartphones
Sommet européen des 20 et 21 juin : objectif zéro émission de gaz à effet de serre d'ici 2050 ?
Une pétition demande à Netflix de déprogrammer Good Omens... une série produite par Amazon
Le Raspberry Pi 4 est là : trois configurations jusqu'à 4 Go de RAM (et un kit desktop)
Le Bitcoin continue sa course folle et dépasse les 10 000$
La mémoire informatique universelle pourrait révolutionner la consommation des data centers
AMD : le Ryzen 7 3800X mettrait à mal les Core i9-9900K d'Intel sur GeekBench
scroll top