WhatsApp n’a pas de porte dérobée, mais il a un point faible dans son système de cryptage.
Ce matin, un article du Guardian indiquait que WhatsApp a une porte dérobée qui peut être utilisée pour espionner les messages de ses utilisateurs par Facebook ou les gouvernements.
A voir aussi : Une nouvelle vulnérabilité appelée RAMpage menace n'importe quel smartphone au cours des six dernières années
L’entreprise a répondu rapidement à ces accusations en expliquant que ” WhatsApp ne donne pas aux gouvernements une ” porte dérobée ” à leurs systèmes et s’opposerait à toute demande gouvernementale visant à créer une telle porte dérobée.
Le ” bogue ” décrit dans l’article de Guardian n’a rien de nouveau, mais il est depuis longtemps bien connu des experts en sécurité, et il n’y a aucune preuve que WhatsApp ait jamais essayé de le cacher.
A lire en complément : Les chercheurs détectent les applications qui utilisent le CPU des smartphones pour obtenir des pièces cryptées.
La faiblesse existe, mais c’est la preuve qu’il est parfois difficile de combiner sécurité et facilité d’utilisation. Le Guardian décrit dans son article une attaque assez complexe (mais possible) qui permettrait à un attaquant de prendre le contrôle d’un serveur WhatsApp pour réinitialiser les clés utilisées pour crypter les messages entre deux utilisateurs et se placer au milieu pour intercepter tout message échangé entre eux (ce qui est communément connu comme une attaque ” homme au milieu “).
Le destinataire du message ne recevra pas d’alertes sur le changement de clé, et l’expéditeur ne sera alerté que s’il a activé l’option “Afficher les notifications de sécurité” de l’application. Maintenant, puisque l’attaque nécessite de compromettre la sécurité des serveurs WhatsApp, ce n’est pas quelque chose qui est à la portée d’un attaquant.
Cette faiblesse est due à la préférence de WhatsApp de privilégier la facilité d’utilisation des applications plutôt que la sécurité la plus stricte. Les utilisateurs changent souvent d’appareil ou de carte SIM, et si WhatsApp était strict sur la gestion des clés, les utilisateurs perdaient des messages lorsqu’ils changeaient d’appareil et que les anciennes clés n’étaient plus valables.
WhatsApp se trouve donc dans une situation délicate car, ayant accès à leurs propres serveurs, ils pourraient recevoir un ordre du gouvernement pour intercepter des messages entre deux utilisateurs et ne pourraient refuser de le faire au motif que cela n’est pas techniquement possible. Maintenant, l’utilisateur “espionné” serait alerté si l’option de notification de sécurité WhatsApp était activée, donc cela ne semble pas être une mesure très utile pour espionner quelqu’un non plus.