En coulisse
3744

Brèche de sécurité dans WhatsApp – des chercheurs trouvent une porte dérobée, Facebook s’en moque

Dominik Bärlocher
13/1/2017

Même si le service de messaging WhatsApp se vente d’être une des rares applis répandues avec chiffrement de bout en bout, il présente une grave brèche de sécurité qui permet à WhatsApp et à son exploitant, Facebook, de lire vos messages.

WhatsApp est certainement le service de messaging le plus utilisé en Suisse. Dans le monde, plus d’un milliard de personnes l’utilisent. Depuis avril 2016, un chiffrement de bout en bout complet a été intégré. Cela signifie qu’avant de délaisser votre téléphone, vos messages sont cryptés et seulement décryptés après leur réception.

Pour mieux expliquer la chose, Alice, Bob et Eve nous viennent en aide. Alice et Bob veulent chatter ensemble et Eve veut lire ce qu’ils s’écrivent. Au fait, le nom Eve est tiré du nom anglais «eavesdropping», ce qui signifie «être sur écoute».

Chiffrement de bout en bout: le fonctionnement

  • Alice envoie un message à Bob
  • Avant que le message ne quitte le téléphone, le texte est chiffré. Cette clé publique est celle de Bob.
  • Les paquets de données codés passent d’Alice à Bob
  • Sur le smartphone de Bob, les données sont déchiffrées, car son téléphone connaît la clé.
  • Au mieux, Eve peut lire des résidus de données illisibles.

Bob peut lire le message, car il a reçu la clé d’Alice à l’avance. En général, cela se passe automatiquement. Comme Alice et Bob font tous les deux attention à leur sécurité, ils ont vérifié leurs clés. Voilà comment procéder dans WhatsApp:

  1. Dans la fenêtre de conversation, chez Android, cliquez sur les trois points en haut à droite. Chez iOS il vous suffit de cliquer sur le nom
  2. Cliquez sur Afficher contact
  3. Cliquez sur Chiffrement
  4. Un code QR apparaît
  5. Votre interlocuteur scanne le code

Quand la clé automatiquement générée par WhatsApp est bonne, alors un petit crochet vert apparaît. Quand la clé est mauvaise, un message sur un arrière-plan orange apparaît et vous informe que la clé de la discussion ne correspond pas à celle de votre correspondant. Dans un exemple, cela pourrait ressembler à ça, même si l’attaque n’a rien de pratique et est évidente:

  1. Alice veut s’assurer qu’elle chatte bien avec Bob
  2. Cependant, Eve a enregistré son numéro sur le mobile d’Alice sous le nom de Bob
  3. Alice scanne le code de Bob
  4. Le message orange apparaît
  5. Alice sait maintenant qu’elle ne chatte pas avec Bob

Le chiffrement de bout en bout est un des biens les plus précieux dans le domaine de la communication numérique, car elle garantit l’intégrité d’une conversation avec des moyens relativement simples.

La brèche de sécurité

Cependant, Tobias Boelter, Information Security Researcher, a découvert que le chiffrement de bout en bout peut être contourné avec des moyens simples.

Le Lighting Talk de Tobias Boelter débute environ à 48:15

Voilà à quoi cela ressemblerait avec Alice et Bob:

  1. Alice envoie un message à Bob
  2. Le message est décrypté avec la clé à Bob
  3. Le message est transmis à Bob en passant par le serveur de WhatsApp
  4. Cependant, quand le serveur émet une nouvelle clé pour Bob immédiatement après l’envoi – remarque: cela se fait automatiquement – alors le téléphone d’Alice réenvoie le message, mais avec la nouvelle clé.

Ainsi, WhatsApp peut aussi lire les textes. Seulement après le second envoi du message, Alice est avertie qu’il se pourrait qu’il y ait anguille sous roche. Au contraire, Bob ne doit pas forcément remarquer qu’Eve suit la discussion, car le serveur peut tout simplement transmettre le premier message à Bob.

Pourquoi est-ce grave?

Dans ce cas, Eve représente toutes les personnes ayant accès à l’infrastructure du serveur WhatsApp. Cela ne doit pas forcément être la société mère Facebook, cela peut aussi être un gouvernement avec l’arrêté nécessaire. La NSA pourrait être un candidat portant beaucoup d’intérêt à cette sorte de brèches. Mais n’oublions pas la police si elle a des soupçons et un décret du tribunal adéquat. Cela concerne également les utilisateurs suisses après une votation d’automne 2016.

Bref; vos chattes privés ne sont plus forcément privés.

Facebook ne fait rien contre cette brèche

Tobias Boelter a choisi le chemin du Responsible Disclosure. Autrement dit: il s’est fait connaître comme Security Researcher et a communiqué le bug à Facebook le 10 avril 2016. La réponse du groupe le 25 mai 2016:

C’est un comportement attendu

Bien entendu, Boelter a précisé que cela ne devrait être ni un comportement attendu ni planifié de l’appli. Facebook a répondu le 31 mai 2016:

Ce détail nous était déjà connu il y a quelque temps[…] actuellement, nous ne cherchons pas activement à y remédier

Les alternatives sures

Entre temps, il devrait être claire que WhatsApp n’est pas sûr et ne doit en aucun cas être utilisé pas les personnes n’aimant pas être mises sur écoute. Même si vous vous dites «Je n’ai rien à cacher, donc il ne peut rien m’arriver de grave», vous devriez chercher une alternative.

Je conseille Signal.

Signal fonctionne presque comme WhatsApp, prend en charge l’envoi d’images et de textes, d’Emojis et de vidéos. Ici, ce sont surtout les mécanismes de chiffrage qui sont importants. Le programmeur «Open Whisper Systems» n’a pas seulement inventé le chiffrage pour Signal, mais l’a aussi transféré vers WhatsApp. Mais contrairement à WhatsApp, Signal ne fait pas mine d’envoyer à nouveau un message après la réception d’une nouvelle clé.

Au fait, Open Whisper Systems s’engage pour votre vie privée. Cela se voit déjà dans le volume de données pouvant être enregistré par le serveur:

WhatsApp

  1. Timestamps de chaque message
  2. Réception réussie de chaque message
  3. Numéro de téléphone de l’expéditeur
  4. Numéro de téléphone du destinataire
  5. Listes de contacts d’expéditeurs et de destinataires
  6. «Autres informations», qui ne sont pas explicitement formulées par la société mère.

Signal

  1. Dernière date en ligne d’un utilisateur

C’est tout.

De plus, Signal possède un plugin Chrome, qui fait passer vos discussions de votre mobile à votre PC ou Mac.

Pourquoi changer de service de messagerie

Je vous entends déjà «oui, mais tous mes amis utilisent WhatsApp, donc je dois faire pareil.» Non, vous ne devez pas. Au contraire. La sécurité ne commence pas chez vos amis ou chez Facebook. Vous êtes avant tout un utilisateur majeur qui est capable de prendre ses propres décisions.

Si vous ne payez pas, vous n’êtes pas le client. Vous êtes le produit. Image Oliver Widder

Encore mieux: vous pouvez devenir le pionnier. Si vous attendez les changements, rien ne se passera jamais. Vous pouvez raconter à vos amis ce que je vous ai raconté dans cet article ou leur envoyer le lien – s’il le faut, vous pouvez aussi utiliser WhatsApp. Ensuite, vous pouvez supprimer WhatsApp, installer Signal et continuer à chatter avec les mêmes personnes. Car comme WhatsApp, Signal utilise également le numéro de téléphone comme identifiant. En règle générale, vous ne remarquerez pas de grandes différences entre Signal et WhatsApp sauf que Signal est bleu et WhatsApp est vert. Il ne faut pas être «doué avec la technologie», car mise à part l’installation de l’appli, vous n’avez rien à faire. Et prenez-en conscience: votre vie privée est importante.

Donc, restez sûr, restez éveillé et amusez-vous.

Ces articles pourraient aussi vous intéresser:

  • En coulisse

    Sur les traces des e-mails de phishing digitec

    par Dominik Bärlocher

  • En coulisse

    Ce que les phisher digitec veulent vraiment

    par Dominik Bärlocher

Cet article plaît à 37 personne(s)

User Avatar
User Avatar
Dominik Bärlocher
Senior Editor
dominik.baerlocher@digitecgalaxus.ch

Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.

Smartphone
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.

44 commentaires

Avatar
later