Un bug dans WhatsApp empêche la disparition complète de vos photos "éphémères"

Il semblerait que les photos éphémères ne le soient pas vraiment chez WhatsApp. En cause : un bug critique qui soulève des questions sur la confidentialité réelle de la messagerie rachetée par Meta en 2014.

C’est une faille qui pourrait faire grand bruit et refroidir les adeptes de la fonction « Vue unique » pour les photos. Des chercheurs en sécurité viennent de révéler que les images envoyées en éphémère sur WhatsApp pouvaient être revues par leurs destinataires. Pire, alors que l’application bloque en temps normal les captures d’écran pour ces prises de vue, le bug découvert permettrait de contourner ces restrictions, transformant les photos éphémères en photos durables. Une découverte qui pourrait entacher la réputation de la messagerie de Meta qui, contrairement à Snapchat, offre le chiffrement de bout en bout pour garantir la stricte confidentialité des messages et photos échangés.

Un problème lié à une mauvaise intégration technique

On insiste sur le fait qu’il s’agit d’un défaut d’implémentation technique, et non d’un véritable coup de canif dans le contrat de confiance. Il n’empêche que la nouvelle risque de donner des sueurs froides à celles et ceux qui privilégient ce mode d’échange de photos.

Dans le détail, ce bug décelé par Tal Be’ery, chercheur en sécurité chez Zengo (fournisseur de crypto-wallet), permet à n’importe qui possédant la clé de déchiffrement des messages de contourner les restrictions liées au mode de vue unique en passant par la version web de WhatsApp. En effet, selon Be’ery, une telle fonctionnalité ne devrait être limitée qu’aux plateformes capables de manipuler le système d’exploitation pour contrôler le contenu affiché, et ainsi empêcher d’autres processus de court-circuiter les mesures de sécurité mises en place. C’est notamment le cas des applications mobiles et desktop, mais pas des interfaces web. Dans ce cas, les versions web de telles applis devraient afficher un message invitant les destinataires à ouvrir leur application pour accéder au contenu protégé.

Or, dans le cas de WhatsApp, les éphémères sont quand même accessibles depuis le navigateur. Problème : les règles de restrictions appliquées en temps normal aux vues uniques ne sont, dans ce cas précis, pas appliquées par le serveur API de la messagerie. Par conséquent, sur le web, la seule chose qui différencie un contenu multimédia classique d’un contenu classé « vue unique » réside uniquement dans son indicateur d’affichage (message ?.isView0nce !== true). Il suffirait donc à un destinataire malveillant de manipuler cet indicateur (message.isView0nce = false) pour revoir l’éphémère, l’enregistrer, le transférer et le partager. Et des outils, programmes, extensions pour modifier la nature des messages éphémères sur WhatsApp, il en existe toute une ribambelle sur GitHub.

Des éphémères, oui, mais pour les contacts de confiance seulement

Alors que faire ? Du côté des utilisateurs et utilisatrices, pas grand-chose hélas, si ce n’est s’abstenir d’envoyer des photos éphémères sur WhatsApp, et privilégier d’autres messageries chiffrées comme Signal ou Telegram pour les modes de vue unique.

En revanche, on attend de Meta qu’elle prenne le problème à bras-le-corps pour rétablir un cadre sécurisé dans WhatsApp. Selon Be’ery, il faudrait que le service soit en mesure de déployer une solution DRM capable de détecter la prise en charge matérielle de ces types de DRM sur les appareils accueillant WhatsApp. En clair, l’application et l’appareil doivent pouvoir s'accorder sur le plan de la gestion des droits numériques. À défaut d’une telle implémentation, il faudrait que l’option « Vue unique » ne puisse être activée que sur les appareils principaux (mobiles), et non sur les applications compagnon (desktop et web).

Interrogée à ce sujet par nos confrères et consœurs de TechCrunch, WhatsApp a indiqué travailler sur ce problème. En attendant un correctif, l'entreprise conseille à ses utilisateurs et utilisatrices de n’utiliser la vue unique qu’avec des destinataires de confiance.

Sources : Zengo, TechCrunch