(TIC Mag) – C’est une révélation qui suscitera certainement beaucoup de suspicions. D’après le journal Wired, des chercheurs allemands de l’université de la Ruhr Bochum ont découvert des failles de sécurité dans WhatsApp qui rendent l’infiltration des discussions de groupe de l’application beaucoup plus facile que cela ne devrait être possible. D’après leurs conclusions, quiconque contrôle les serveurs de WhatsApp pourrait facilement insérer de nouvelles personnes dans un groupe privé, même sans l’autorisation de l’administrateur, qui en principe, a un contrôle total sur l’accès aux conversations du groupe.
« La confidentialité du groupe est rompue dès que le membre non invité peut obtenir tous les nouveaux messages et les lire…Si j’entends dire qu’il existe un cryptage de bout en bout pour les deux groupes et les communications à deux parties, cela signifie que l’ajout de nouveaux membres devrait être protégé, et sinon, la valeur du cryptage est très faible.” explique Paul Rösler, l’un des chercheurs de l’Université de la Ruhr.
Les chercheurs allemands expliquent que la faille WhatsApp profite d’un simple bug. En principe, seul un administrateur d’un groupe WhatsApp peut inviter de nouveaux membres, mais WhatsApp n’utilise aucun mécanisme d’authentification pour cette invitation que ses propres serveurs ne peuvent pas usurper. Ainsi, le serveur peut simplement ajouter un nouveau membre à un groupe sans interaction de la part de l’administrateur, et le téléphone de chaque participant du groupe partage alors automatiquement les clés secrètes avec ce nouveau membre, lui donnant un accès complet à tout futur message. Heureusement, les messages envoyés avant une invitation illicite, ne peuvent toujours pas être décryptés.
Tout le monde dans le groupe verrait un message qu’un nouveau membre a rejoint, apparemment à l’invitation de l’administrateur inconscient. Si l’administrateur surveille de près, il ou elle peut avertir les membres prévus du groupe de l’intrus et du message d’invitation falsifié. Mais les chercheurs de l’Université de la Ruhr et Johns Hopkins ‘Green soulignent plusieurs astuces qui pourraient être utilisées pour retarder la détection. Une fois qu’un attaquant ayant le contrôle du serveur WhatsApp a eu accès à la conversation, il peut également utiliser le serveur pour bloquer sélectivement tous les messages du groupe, y compris ceux qui posent des questions, ou fournir des avertissements concernant le nouveau participant : « Il peut mettre en cache tout le message et décider ensuite qui est envoyé à qui et qui ne le fait pas », explique le chercheur.
La révélation de cette faille est un véritable coup dur pour WhatsApp, dont le principal argument de valeur a toujours été la garantie qu’une conversation sécurisée n’atteigne que le public visé, plutôt qu’un imposteur ou un infiltré.
Ecrit par TIC Mag