L’équipe de sécurité de WhatsApp a découvert une vulnérabilité qui permet de déterminer quels utilisateurs communiquent entre eux, à quels groupes privés ils appartiennent et où ils se trouvent. Les experts craignent que cette faille soit exploitée par des gouvernements.
WhatsApp souffre d’une sérieuse faille de sécurité. L’équipe chargée de la sécurité de la messagerie a en effet découvert une vulnérabilité dans le fonctionnement de l’application en mars dernier, rapportent nos confrères de The Intercept.
D’après les chercheurs employés par Meta, la vulnérabilité laisse potentiellement des « agences gouvernementales » déterminer quels utilisateurs communiquent entre eux. Elle pourrait aussi permettre de découvrir à quels groupes privés appartiennent les utilisateurs. Enfin, l’emplacement géographique des usagers pourrait également être compromis. Par contre, le contenu des conversations reste sécurisé. Il n’y donc pas moyen d’espionner vos messages. La confidentialité reste garantie par le chiffrement de bout en bout de WhatsApp, qui repose sur le protocole open source de Signal.
Comment fonctionne la faille qui permet de surveiller les utilisateurs WhatsApp ?
Dans un avertissement interne à l’intention de leurs collègues, les experts en cybersécurité révèlent que la faille repose sur l’analyse du trafic Internet. Utilisée depuis plusieurs décennies, cette méthode de surveillance consiste à surveiller les données circulant sur Internet, par le biais de dispositifs comme les routeurs, les commutateurs et les sondes de réseau. En examinant les données collectées, un attaquant peut savoir quels appareils échangent des messages et à quelle fréquence. Cette approche permet de savoir qui parle avec qui sur une messagerie, même sans voir le contenu des messages.
« L’inspection et l’analyse du trafic réseau sont complètement invisibles pour nous, mais elles révèlent les connexions entre nos utilisateurs : qui est dans un groupe ensemble, qui envoie des messages à qui, et (le plus difficile à cacher) qui appelle qui », indique le rapport interne.
Les chercheurs se sont notamment penchés sur les attaques dites de corrélation. Elles permettent de contourner le chiffrement et de violer la confidentialité des échanges sur WhatsApp. Concrètement, lorsque quelqu’un envoie un message à un groupe, une quantité de données de la même taille est envoyée à tous les membres. Il est donc possible de deviner qu’un message de groupe a été envoyé. De plus, en caculant le délai entre l’envoi et la réception des messages, un attaquant peut évaluer la distance et l’emplacement des utilisateurs.
De l’avis des chercheurs, cette brèche est surtout intéressante pour les gouvernements qui chercheraient à espionner des dissidents. C’est pourquoi ils exhortent WhatsApp à « atténuer l’exploitation continue des vulnérabilités de l’analyse du trafic qui permettent aux États-nations de déterminer qui parle à qui », estimant que les « utilisateurs à risque ont besoin de protections robustes et viables contre l’analyse du trafic ».
L’inquiétude des employés de Meta
Interrogés par The Intercept, quatre sources internes et anonymes ont révélé que la vulnérabilité a suscité l’inquiétude du personnel de Meta à la suite des révélations concernant « Lavender », l’IA israélienne utilisée pour le ciblage de civils à Gaza. Ce logiciel est conçu pour « croiser les sources de renseignement, afin de produire des couches d’informations à jour sur les agents militaires des organisations terroristes », indique Israël. D’après une enquête du site d’informations israélo-palestinien +972, Israël se sert surtout de l’IA afin d’automatiser l’identification et l’élimination des combattants du Hamas. Parmi les sources de données qui nourrissent « Lavender », on trouverait WhatsApp. Selon l’enquête, « WhatsApp fait partie de la multitude de caractéristiques personnelles et de comportements numériques que l’armée israélienne utilise pour marquer les Palestiniens ».
En fait, WhatsApp n’est pas la seule application de messagerie vulnérable. Selon les chercheurs, tous les services de messagerie révèlent potentiellement des informations confidentielles sur leurs utilisateurs sans en avoir conscience. Comme le rappelle Christina LoNigro, porte-parole de Meta, cette faille n’est pas propre à WhatsApp. Elle précise par ailleurs qu’il s’agit uniquement d’une vulnérabilité « théorique ». Le groupe californien indique n’avoir « aucune preuve de vulnérabilités dans le fonctionnement de WhatsApp », contredisant ainsi le rapport de ses propres chercheurs.
source : 01net