Whatsapp : une vulnérabilité compromet le secret des conversations

01 juin 2018 à 15h36
0
Des chercheurs en cybersécurité viennent de révéler les détails d'une faille découverte chez Whatsapp. Celle-ci permet à un attaquant d'accéder au contenu de conversations en théorie secrètes et cryptées des utilisateurs de la messagerie.

Le risque est cependant limité, car l'attaquant doit, pour accéder aux discussions, intégrer le groupe qu'il cible.

Une faille découverte en juillet 2017

Comme Telegram, c'est l'une des forces de Whatsapp, et l'une des composantes de son succès : devenue en mai dernier la plus utilisée dans le monde, la messagerie, propriété de Facebook, met volontiers en avant son cryptage réputé inviolable. Un chiffrement qui lui vaut des pressions de plusieurs gouvernements dans le monde, de nombreuses enquêtes butant sur le refus de la compagnie de collaborer avec la justice.

C'est donc un sérieux coup que Whatsapp doit encaisser ces jours-ci : une équipe de chercheurs de l'Université de la Ruhr à Bochum (Allemagne) vient de révéler l'existence d'une vulnérabilité découverte en juillet dernier, et qui permet de compromettre le secret des conversations. Une faille similaire affecterait également les messageries Signal et Threema, mais à un degré moindre.

01F4000008667176-photo-whatsapp.jpg


L'attaquant jamais totalement invisible

Techniquement, la faille permet de prendre le contrôle d'un serveur appartenant à Whatsapp, et d'insérer dans n'importe quel groupe de conversation hébergé sur ce serveur un ou plusieurs nouveaux participants, sans avoir à en demander la permission à l'administrateur du groupe. Et la manoeuvre est très facile, car Whatsapp n'a prévu aucun mécanisme d'identification pour les invitations émanant de ses propres serveurs.

Une fois intégré au groupe visé, le nouveau membre a accès à l'intégralité de la conversation en cours. Mais les messages échangés avant son arrivée lui resteront inaccessibles. L'attaquant, en étant maître du serveur, pourra aussi bloquer les notifications de l'arrivée de l'intrus, et effacer à sa guise les messages produits par les membres du groupe. Whatsapp se veut rassurant, en rappelant que deux membres pourront toujours communiquer en ligne directe s'ils ont un doute sur un nouvel invité, et qu'un intrus ne sera jamais totalement invisible.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

LegalFlings : le consentement à une relation sexuelle garanti par la blockchain ?
CES 2018 : Il suivra le soleil... SUNFLOWER, le parasol robotique
L'ère numérique pourrait bien ne rien laisser à la postérité
CES 2018 : Fossil présente une montre Skagen connectée Android Wear
CES 2018 : Samsung fait dans la TV (très) grande diagonale et la 8K
Nintendo Game Boy : une version Ultra au CES 2018, avec Hyperkin
CES 2018 : Numi, les toilettes reliées à Alexa
Intel : les PC ralentis de moins de 10 % après les patchs pour Spectre et Meltdown
68 ans de vidéos porno mises en ligne sur Pornhub en 2017
CES 2018 : le groupe Muller donne un cerveau à votre chauffage !
Haut de page