Le bogue WhatsApp permet l'infiltration de discussions de groupe privées sans autorisations d'administrateur

Un bogue dans WhatsApp signifie qu'il est possible de se faufiler dans des discussions privées sans aucune autorisation d'administrateur, malgré les meilleurs efforts de la société appartenant à Facebook en matière de cryptage.

Une recherche menée par une équipe de cryptographie allemande a révélé qu'une faille dans la façon dont l'application interagit avec les serveurs de WhatsApp, contrôlé par Facebook, permet à toute personne ayant accès à ces serveurs d'insérer facilement de nouvelles personnes dans un groupe privé discuter.

Ainsi, malgré la mise en œuvre par WhatsApp du chiffrement de bout en bout dans sa messagerie, il est possible que le chat de groupe soit infiltré et espionné.

«La confidentialité du groupe est rompue dès que le membre non invité peut obtenir toutes les nouvelles messages et lisez-les », a expliqué Paul Rösler, l'un des chercheurs de l'Université de la Ruhr qui a co-écrit une papier qui détaille la vulnérabilité.

«Si j'entends qu'il y a un cryptage de bout en bout pour les deux groupes et les communications bipartites, cela signifie que l'ajout de nouveaux membres doit être protégé contre. Et sinon, la valeur du cryptage est très faible », a-t-il ajouté.

Cependant, Alex Stamos, responsable de la sécurité de Facebook, a minimisé les risques de sécurité sur Twitter, soulignant qu’il n’y avait «pas de moyen secret» WhatsApp chats de groupe.

Il a expliqué que WhatsApp fournit une notification chaque fois qu'un nouvel utilisateur entre dans une discussion de groupe, donc même si un l'invité indésirable apparaît dans un chat privé, les membres légitimes le sauront et les administrateurs peuvent les expulser en dehors. Et comme seuls les nouveaux messages peuvent être consultés par un nouveau membre, le risque pour la vie privée est quelque peu atténué.

En résumé, les notifications claires et les multiples façons de vérifier qui fait partie de votre groupe empêchent les écoutes silencieuses. Le contenu des messages envoyés dans les groupes WhatsApp reste protégé par un cryptage de bout en bout.

- Alex Stamos (@alexstamos) 10 janvier 2018

Cependant, il est possible que les pirates sophistiqués utilisent des techniques pour bloquer de manière sélective les nouveaux messages de groupe, comme une fois les nouveaux membre est ajouté les clés de cryptage sont partagées entre les téléphones utilisant WhatsApp, ce qui aiderait les intrus à éviter immédiatement détection.

Pour que les pirates puissent exploiter la faille, ils auraient d'abord besoin de percer les serveurs WhatsApp, ce qui nécessiterait de hauts niveaux de compétences en piratage pour tenter même de tenter. Cela atténue encore le risque que pose le bogue.

Mais pour les gouvernements et les groupes de hackers disposant des ressources nécessaires pour mener de telles attaques de piratage, le bogue pourrait être une cible séduisante, en particulier pour les espionnages et les espionnages parrainés par l'État.

Dans l'ensemble, le bogue ne semble pas poser trop de risque pour l'utilisateur moyen de WhatsApp.

Bien entendu, cela n’excuse pas la présence d’une faille de sécurité. WhatsApp a noté que s'il résolvait immédiatement la faille, cela pourrait causer des problèmes en permettant à de nouveaux membres légitimes de rejoindre le groupe via l'utilisation d'une URL partagée. Cela suggère donc qu'il faudra un certain temps avant que le bogue ne soit éliminé.

En rapport: Faits marquants du CES 2018

Faites-vous confiance à WhatsApp pour garder votre messagerie privée ou êtes-vous un utilisateur de Signal? Faites-nous savoir sur Facebook ou Twitter.