Des chercheurs en sécurité ont publié les détails d’une faille de sécurité au sein de l’application de messagerie WhatsApp. Son exploitation permet d’espionner les conversations de groupe sur la plateforme. Elle requiert néanmoins que l’attaquant ait accès aux serveurs de la société derrière l’application pour arriver à ses fins.
Il s’agit de développements intéressants pour les gouvernements qui peinent face au chiffrement de bout en bout implémenté sur cette plateforme. Les États-Unis ont fait état de la difficulté d’avancer dans des enquêtes en 2014 à cause de la sécurité dont la plateforme s’est dotée grâce à un partenariat avec Open Whisper Systems. Plus récemment en 2017, l’Angleterre a, pour les mêmes raisons, demandé l’installation d’une porte dérobée sur ce qu’elle considère comme un « trou noir ». Aussi, toute vulnérabilité qui pourrait servir de base à une collaboration entre l’entreprise et les gouvernements est la bienvenue pour ces derniers.
D’après ce que rapporte le magazine Wired, la vulnérabilité dévoilée lors de la Real World Crypto security conference affecte également les applications de messagerie Signal et Threema, mais à un degré moindre. Elle consiste en la possibilité dont dispose un attaquant, limité par la condition énumérée d’entrée de jeu, d’insérer de nouveaux participants à un groupe de discussion privé sans la permission de l’administrateur. En cause ici, le manque de sécurisation du mécanisme de génération d’une invitation. « Un groupe WhatsApp peut inviter de nouveaux membres, mais la plateforme n’utilise aucun mécanisme d’authentification que ses propres serveurs ne soient à même d’espionner », rapporte Wired.
La conséquence est que celui qui contrôle le serveur peut ajouter de nouveaux membres sans interaction de l’administrateur, ce, avec la possibilité de rendre la manœuvre furtive en retardant les notifications destinées aux autres membres du groupe. Les nouveaux venus reçoivent les clés secrètes des autres participants, ce qui leur ouvre une voie royale vers les contenus diffusés dans le groupe après leur ajout. Wired ajoute que les messages antérieurs à la présence des intrus ne leur sont pas accessibles. Par contre, fonctionnalité qui pourrait s’avérer intéressante pour exercer la censure : le nouvel arrivant peut effectuer un blocage sélectif des messages dans le groupe.
Un porte-parole de WhatsApp s’est exprimé sur la question. La propriété de Facebook estime, par sa voix, que les révélations du groupe de chercheurs de l’université de Ruhr en Allemagne sont essentiellement théoriques. Pour les responsables de la plateforme, les participants à un groupe de discussion reçoivent malgré tout les notifications d’ajout de nouveaux membres. « Sous WhatsApp, les messages de groupe ne peuvent être transmis à un utilisateur masqué », a insisté l’entreprise.
Le groupe de chercheurs, qui a révélé la faille à l’entreprise en juillet dernier, suggère de résoudre la vulnérabilité en procédant à l’ajout d’invitations dotées d’un mécanisme d’authentification dont l’administrateur seul possède la clé. La manœuvre conduirait WhatsApp à supprimer le « lien d’ajout au groupe », ce à quoi l’entreprise semble être réfractaire pour le moment.
Pour s’extirper des craintes de collusion avec une quelconque agence gouvernementale, les responsables de WhatsApp ont ajouté que « du point de vue de la furtivité, la technique ne constitue pas un bon parti pour les gouvernements. Sur le long terme en effet, les utilisateurs se rendront compte de l’apparition d’intrus dans leurs groupes de conversation. »
Quel est votre avis en ce qui concerne le positionnement de WhatsApp ?