vendredi, décembre 3

WhatsApp n’a pas de porte dérobée, mais il a un point faible dans son système de cryptage.

48

Ce matin, un article du Guardian indiquait que WhatsApp a une porte dérobée qui peut être utilisée pour espionner les messages de ses utilisateurs par Facebook ou les gouvernements.

A découvrir également : Tout smartphone avec une version antérieure à Android Pie peut être géolocalisé grâce à une nouvelle vulnérabilité

L’entreprise a répondu rapidement à ces accusations en expliquant que ” WhatsApp ne donne pas aux gouvernements une ” porte dérobée ” à leurs systèmes et s’opposerait à toute demande gouvernementale visant à créer une telle porte dérobée.

Le ” bogue ” décrit dans l’article de Guardian n’a rien de nouveau, mais il est depuis longtemps bien connu des experts en sécurité, et il n’y a aucune preuve que WhatsApp ait jamais essayé de le cacher.

A lire en complément : Europol s'attend à une deuxième vague de cyber-attaque de rançon à partir de lundi

La faiblesse existe, mais c’est la preuve qu’il est parfois difficile de combiner sécurité et facilité d’utilisation. Le Guardian décrit dans son article une attaque assez complexe (mais possible) qui permettrait à un attaquant de prendre le contrôle d’un serveur WhatsApp pour réinitialiser les clés utilisées pour crypter les messages entre deux utilisateurs et se placer au milieu pour intercepter tout message échangé entre eux (ce qui est communément connu comme une attaque ” homme au milieu “).

Le destinataire du message ne recevra pas d’alertes sur le changement de clé, et l’expéditeur ne sera alerté que s’il a activé l’option “Afficher les notifications de sécurité” de l’application. Maintenant, puisque l’attaque nécessite de compromettre la sécurité des serveurs WhatsApp, ce n’est pas quelque chose qui est à la portée d’un attaquant.

Cette faiblesse est due à la préférence de WhatsApp de privilégier la facilité d’utilisation des applications plutôt que la sécurité la plus stricte. Les utilisateurs changent souvent d’appareil ou de carte SIM, et si WhatsApp était strict sur la gestion des clés, les utilisateurs perdaient des messages lorsqu’ils changeaient d’appareil et que les anciennes clés n’étaient plus valables.

WhatsApp se trouve donc dans une situation délicate car, ayant accès à leurs propres serveurs, ils pourraient recevoir un ordre du gouvernement pour intercepter des messages entre deux utilisateurs et ne pourraient refuser de le faire au motif que cela n’est pas techniquement possible. Maintenant, l’utilisateur “espionné” serait alerté si l’option de notification de sécurité WhatsApp était activée, donc cela ne semble pas être une mesure très utile pour espionner quelqu’un non plus.