Whatsapp : une vulnérabilité compromet le secret des conversations

Alexandre PAULSON
Publié le 11 janvier 2018 à 11h58
Des chercheurs en cybersécurité viennent de révéler les détails d'une faille découverte chez Whatsapp. Celle-ci permet à un attaquant d'accéder au contenu de conversations en théorie secrètes et cryptées des utilisateurs de la messagerie.

Le risque est cependant limité, car l'attaquant doit, pour accéder aux discussions, intégrer le groupe qu'il cible.

Une faille découverte en juillet 2017

Comme Telegram, c'est l'une des forces de Whatsapp, et l'une des composantes de son succès : devenue en mai dernier la plus utilisée dans le monde, la messagerie, propriété de Facebook, met volontiers en avant son cryptage réputé inviolable. Un chiffrement qui lui vaut des pressions de plusieurs gouvernements dans le monde, de nombreuses enquêtes butant sur le refus de la compagnie de collaborer avec la justice.

C'est donc un sérieux coup que Whatsapp doit encaisser ces jours-ci : une équipe de chercheurs de l'Université de la Ruhr à Bochum (Allemagne) vient de révéler l'existence d'une vulnérabilité découverte en juillet dernier, et qui permet de compromettre le secret des conversations. Une faille similaire affecterait également les messageries Signal et Threema, mais à un degré moindre.

01F4000008667176-photo-whatsapp.jpg


L'attaquant jamais totalement invisible

Techniquement, la faille permet de prendre le contrôle d'un serveur appartenant à Whatsapp, et d'insérer dans n'importe quel groupe de conversation hébergé sur ce serveur un ou plusieurs nouveaux participants, sans avoir à en demander la permission à l'administrateur du groupe. Et la manoeuvre est très facile, car Whatsapp n'a prévu aucun mécanisme d'identification pour les invitations émanant de ses propres serveurs.

Une fois intégré au groupe visé, le nouveau membre a accès à l'intégralité de la conversation en cours. Mais les messages échangés avant son arrivée lui resteront inaccessibles. L'attaquant, en étant maître du serveur, pourra aussi bloquer les notifications de l'arrivée de l'intrus, et effacer à sa guise les messages produits par les membres du groupe. Whatsapp se veut rassurant, en rappelant que deux membres pourront toujours communiquer en ligne directe s'ils ont un doute sur un nouvel invité, et qu'un intrus ne sera jamais totalement invisible.

Alexandre PAULSON
Par Alexandre PAULSON

Aucun résumé disponible

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles