D'après une étude menée par des chercheurs de l'Université de la Ruhr à Bochum, les pirates peuvent ajouter des personnes aux discussions de groupe sur WhatsApp
Au fil des années, WhatsApp a beaucoup investi dans la sécurité des données des utilisateurs. L'authentification à deux facteurs a été introduite ainsi que le cryptage de bout en bout des conversations grâce à Open Whisper Systems. Cette dernière décision, en particulier, a permis d'améliorer la confidentialité et de protéger les conversations des utilisateurs contre l'intrusion de pirates informatiques.
La décision d'introduire un chiffrement de bout en bout au sein de l'application a été saluée à la fois par les utilisateurs et les experts du secteur, qui attendaient depuis longtemps une telle décision de la part de WhatsApp. L'utilisation d'un cryptage de bout en bout doit laisser penser que les données des utilisateurs sont en sécurité et que personne ne peut s'immiscer dans leurs conversations. Mais en réalité, ce n'est pas le cas. C'est ce qui ressort des recherches menées par l'Université de la Ruhr à Bochum (Allemagne), qui a découvert la présence d'une faille dans les serveurs de WhatsApp qui mettrait en danger la sécurité des données des utilisateurs. La faille n'affecterait que les discussions de groupe et non les discussions individuelles.
Ce que les chercheurs ont trouvé
L'étude a été présentée à la conférence de sécurité Real World Crypto et a immédiatement fait parler d'elle. La recherche a mis en évidence des failles dans trois applications de messagerie instantanée : WhatsApp, Signal et Threema. Si les problèmes constatés dans ces deux dernières applications sont facilement corrigibles, le bug de WhatsApp mettrait potentiellement en danger toutes les conversations de groupe. Selon les chercheurs, une faille permettrait à toute personne ayant accès aux serveurs de WhatsApp d'ajouter des personnes aux conversations de groupe, sans demander le consentement des administrateurs. Grâce à ce bogue, les pirates pouvaient s'introduire dans les chats sans que personne ne s'en aperçoive et commencer à collecter les données des utilisateurs. Le danger, soulignent les chercheurs, est que des pirates informatiques puissent s'introduire dans les serveurs de WhatsApp et commencer à ajouter des personnes aux groupes. Les gouvernements pourraient également faire pression sur l'application de messagerie pour contrôler les conversations de groupe pendant les soulèvements populaires.
Ce que les pirates peuvent faire
Une connexion aux serveurs de WhatsApp permettrait aux pirates d'avoir un contrôle absolu sur les conversations de groupe. Lorsqu'une personne est ajoutée à un chat, un message apparaît dans le chat, alertant les autres utilisateurs. Si l'utilisateur a été ajouté par un pirate via une altération au niveau du serveur, un administrateur de groupe pourrait avertir les autres utilisateurs qu'il n'a ajouté personne. Mais si le groupe est très actif, dans 99% des cas, le message indiquant qu'un nouvel utilisateur a été ajouté peut être manqué. En contrôlant directement les serveurs, les pirates ont aussi d'autres pouvoirs. Par exemple, ils peuvent décider des messages à afficher dans le chat et également envoyer des messages différents aux administrateurs du groupe. De cette façon, l'intrusion passe presque inaperçue et les attaquants peuvent tranquillement collecter les données des gens.
WhatsApp en alerte
Les chercheurs de l'université de Ruhr ont déclaré avoir averti WhatsApp en juillet dernier, mais le personnel de l'application de messagerie instantanée n'a pas jugé le bug suffisamment important pour mériter la récompense en espèces que Facebook offre à quiconque découvre une faille dans l'une de ses plateformes. Certains employés de WhatsApp ont confirmé le problème à Wired, mais ont souligné le fait que lorsqu'un nouveau membre est ajouté à un chat, tous les utilisateurs sont avertis par un message. Et cela permettrait de sécuriser les données des utilisateurs.
Comment résoudre le problème
Selon les universitaires, le problème pourrait être résolu facilement, juste en faisant un simple changement par WhatsApp. Ajoutez une sorte d'authentification à deux facteurs pour ajouter un utilisateur à un nouveau groupe : une clé détenue uniquement par l'administrateur du groupe. Nous verrons si WhatsApp décide de suivre les conseils des chercheurs.