Une faille de sécurité importante a été découverte dans les versions macOS de WhatsApp et Signal. Les données locales, y compris l'historique des conversations et les pièces jointes, sont stockées de manière non sécurisée. Ce problème concerne particulièrement les utilisateurs de la fonction multi-appareils sur Mac pour ces deux applications populaires.
WhatsApp et Signal, deux applications de messagerie instantanée réputées pour leur sécurité, sont au cœur d'une polémique. Avec plus de 2 milliards d'utilisateurs pour WhatsApp et une base d'utilisateurs croissante pour Signal, ces applications sont connues pour leur chiffrement de bout en bout. Cette technologie assure la confidentialité des échanges en les rendant illisibles pour quiconque tenterait d'intercepter les communications.
Pourtant, une vulnérabilité majeure vient d'être mise au jour sur les versions macOS de ces deux applications. Le chercheur en sécurité Tommy Mysk a découvert que WhatsApp et Signal stockent les données locales, incluant l'historique des conversations et les fichiers multimédias, dans un emplacement accessible à n'importe quelle application ou processus exécuté sur l'ordinateur.
Le mode multi-appareils : pratique mais risqué
Le mode multi-appareils de WhatsApp et Signal permet d'utiliser ces applications sur plusieurs appareils simultanément, sans que le téléphone principal ne soit connecté à Internet. Cette fonction, très pratique pour les utilisateurs de Mac, synchronise les conversations entre les différents appareils.
Le problème réside dans la façon dont ces données sont stockées sur macOS. Contrairement à iMessage d'Apple qui isole les données dans un « bac à sable » pour empêcher l'accès non autorisé, WhatsApp et Signal les stockent dans un emplacement accessible à toutes les applications.
Cette vulnérabilité ouvre la porte à de potentielles attaques. Un logiciel malveillant pourrait théoriquement accéder à ces données, les surveiller et même les transmettre à un serveur distant. Le chiffrement de bout en bout, censé protéger les communications, devient alors inutile face à cette faille de sécurité locale.
Dans le cas de Signal, bien que l'historique des conversations soit chiffré localement, la clé de chiffrement est stockée en clair dans le même dossier, la rendant accessible à d'autres applications. Pire encore, cette faille permettrait à un attaquant de cloner une session Signal sur un autre appareil, compromettant ainsi la sécurité de l'ensemble du compte.
Sécurité et confidentialité : WhatsApp et Signal, entre promesses et failles
WhatsApp et Signal mettent en avant le chiffrement de bout en bout comme garantie de la confidentialité des échanges. Pourtant, des failles persistent. Récemment, une vulnérabilité permettant de divulguer l'appartenance à des groupes privés a été révélée pour WhatsApp. Cette faille repose sur l'analyse du trafic réseau et pourrait être exploitée par des gouvernements pour surveiller les communications.
Malgré ces problèmes, les deux entreprises s'efforcent de renforcer la sécurité de leurs utilisateurs. WhatsApp travaille sur l'intégration de pseudonymes pour masquer les numéros de téléphone et prévoit d'implémenter les « passkeys » sur iOS pour une authentification plus sûre. Signal, de son côté, maintient une politique de non-rétention des données utilisateurs sur ses serveurs.
Pour les utilisateurs du mode multi-appareils sur macOS, il est plus prudent de désactiver cette fonction et de dissocier l'application de bureau du compte principal, que ce soit pour WhatsApp ou Signal. Cette mesure préventive limite l'exposition des données sensibles aux risques d'accès non autorisés.
En attendant que ces vulnérabilités soient corrigées, les utilisateurs soucieux de leur vie privée devraient privilégier l'utilisation de ces applications sur smartphone. Les versions mobiles bénéficient d'une meilleure isolation des données, réduisant considérablement les risques de compromission.
Les utilisateurs de WhatsApp et Signal sur macOS doivent rester vigilants. La commodité du mode multi-appareils ne doit pas se faire au détriment de la sécurité. Il est crucial d'évaluer les avantages et les risques avant d'utiliser ces fonctionnalités sur un ordinateur Mac.
- Riche en fonctionnalités
- Open source
- Sécurisée
- Chiffrement de bout en bout
- Appels audio et vidéo gratuits
- Compatibilité multiplateforme
Source : Forbes