WhatsApp se serait montré négligent lors de l’intégration de la fonctionnalité « vue unique ». Selon des experts, c’est un véritable jeu d’enfants de contourner l’option, marquée par une importante faille de confidentialité. Meta a réagi aux critiques en promettant du changement.
Depuis 2021, WhatsApp permet à ses deux milliards d’utilisateurs d’envoyer des messages éphémères. Comme l’explique la messagerie instantanée sur son site, il est possible d’envoyer « des photos, des messages vocaux et des vidéos qui disparaissent de votre discussion une fois que votre destinataire les a ouverts ». WhatsApp a intitulé cette fonctionnalité la « vue unique ».
« Une fois que vous avez envoyé une photo ou une vidéo à vue unique ou un message vocal à écoute unique, vous ne pourrez plus l’afficher ou le réécouter », ajoute WhatsApp, soulignant que « les photos ou vidéos que vous envoyez ne seront pas enregistrées dans les photos ou la galerie du destinataire » et que celui-ci ne peut pas non plus « prendre de capture d’écran de tout ce que vous envoyez ».
Une fonction de WhatsApp facile à contourner
Malheureusement, il s’avère que cette option est victime d’une sérieuse faille de confidentialité. Les chercheurs en sécurité de Zengo X ont remarqué qu’il était très facile de contourner la fonction de vue unique. Selon le rapport publié par les experts, la fonction est « complètement cassée et peut être contournée de manière triviale ». Pour Tal Be’ery, le directeur de Zengo X, Meta s’est montré négligent dans la façon dont l’option a été incorporée à la messagerie.
« Nous avions divulgué de manière responsable nos conclusions à Meta, mais lorsque nous avons réalisé que le problème était déjà exploité dans la nature, nous avons décidé de le rendre public pour protéger la vie privée des utilisateurs de WhatsApp », indique Zengo X.
Comme l’expliquent les chercheurs, les restrictions mises en place par WhatsApp peuvent facilement être outrepassées. Sur la version web ou l’application bureau, il est par exemple possible de réaliser des captures d’écran d’un message ou d’une photo envoyée. Ces versions n’intègrent pas de système permettant de bloquer les captures d’écran. Pour conserver des traces d’un échange, les internautes n’ont qu’à ouvrir leur ordinateur… Cette fonctionnalité de confidentialité peut donc être considérée comme inefficace.
Un serveur défaillant
En fait, la fonction est « censée être limitée aux plates-formes dans lesquelles l’application peut contrôler son contenu affiché et empêcher d’autres processus d’en abuser », mais « un client sur n’importe quelle plate-forme peut télécharger le message », car le serveur n’applique pas la restriction. En d’autres termes, WhatsApp n’est pas techniquement en mesure de tenir ses promesses de confidentialité. En théorie, la messagerie doit pourtant afficher un message précisant que les versions de WhatsApp non conçues pour les smartphones ne sont pas compatibles avec les messages à vue unique. L’option devrait être cantonnée à Android et iOS.
Les chercheurs ont plutôt remarqué qu’un message unique est systématiquement envoyé à tous les « appareils du destinataire, y compris ceux qui ne sont pas autorisés à l’afficher ». En transmettant le message à tous les appareils, le serveur de WhatsApp ouvre la porte à tous les abus. Sur ordinateur, il est aisé de contourner les restrictions, via une extension de navigateur par exemple. Certaines extensions Chrome permet en effet d’enregistrer des contenus éphémères sur WhatsApp. BleepingComputer confirme que deux extensions Chrome sont effectivement en mesure de désactiver la vue unique.
Par ailleurs, les chercheurs regrettent que certaines versions de WhatsApp « contiennent un aperçu de mauvaise qualité du média » envoyé. Cet aperçu permet d’afficher l’image sans que WhatsApp considère que le contenu a été vu… Enfin, les experts ont découvert que les messages éphémères restent « accessibles pendant deux semaines » sur les serveurs de WhatsApp. Au lieu de supprimer les messages une fois qu’ils ont été vus, la messagerie conserve les contenus sans raison.
Un « faux sentiment de confidentialité »
Pour Tal Be’ery, Meta a créé « un faux sentiment de confidentialité dans lequel les utilisateurs sont amenés à croire que certaines formes de communication sont privées alors qu’en fait, elles ne le sont pas ». L’expert en sécurité recommande à Meta d’abandonner cette « forme brutale de fausse confidentialité » ou de corriger l’implémentation de la fonction. Il conseille au groupe de Mark Zuckerberg de se pencher sur l’utilisation d’une solution de gestion des droits numériques (DRM). Une technologie DRM pourrait empêcher les utilisateurs de contourner les protections en restreignant l’accès et les interactions avec le contenu.
Par exemple, le DRM peut empêcher de faire des captures d’écran ou de sauvegarder les fichiers, même si l’internaute change certains paramètres ou s’appuie sur des outils externes, comme des extensions de navigateur. Contacté par nos confrères de Bleeping Computer, Meta s’est engagé à corriger le tir. Le groupe de Menlo Park affirme déployer des changements à la fonction de vue unique en ce moment.
source:01net