WhatsApp, une faille met en danger les discussions de groupe
Selon une étude menée par des chercheurs de l'Université de la Ruhr à Bochum, les pirates informatiques peuvent ajouter des personnes à des discussions de groupe sur WhatsApp.
Dans les années WhatsApp a investi massivement dans la sécurité des données des utilisateurs. L'entreprise a mis en place l'authentification à deux facteurs et le chiffrement de bout en bout des conversations grâce à Open Whisper Systems. Cette dernière mesure, en particulier, a amélioré la confidentialité et la protection contre les pirates informatiques.
L'introduction du chiffrement de bout en bout au sein des applications a été saluée par les utilisateurs et les experts. chiffrement de bout en bout Cela devrait laisser croire que les données des utilisateurs sont en sécurité et que personne ne peut interférer avec leurs conversations. Mais en réalité, ce n'est pas le cas. C'est ce qu'a révélé une étude. de l'Université de la Ruhr à Bochum (en Allemagne) qui a découvert la présence d'un faille dans les serveurs WhatsApp.
Ce que les chercheurs ont découvert
L’étude a été présentée lors de la conférence sur la sécurité des cryptomonnaies dans le monde réel et est immédiatement devenue un sujet de discussion.
La recherche a révélé des failles dans trois applications de messagerie instantanée : WhatsApp, Signal et Threema. Bien que les problèmes rencontrés dans les deux dernières applications soient facilement réparables, le Bogue de WhatsApp Cela pourrait potentiellement compromettre toutes les conversations de groupe. Selon les chercheurs, une faille permettrait à toute personne ayant accès aux serveurs WhatsApp d'ajouter des personnes à des conversations de groupe sans demander l'autorisation des administrateurs. Cette faille permettrait aux pirates d'accéder inaperçus aux conversations et de collecter les données des utilisateurs.
L'accès aux serveurs WhatsApp donnerait aux pirates un contrôle total sur les conversations de groupe. Lorsqu'un utilisateur est ajouté à une discussion, un message apparaît dans la discussion, alertant les autres utilisateurs. Si un pirate ajoute l'utilisateur en altérant le serveur, un administrateur du groupe pourrait avertir les autres utilisateurs qu'il n'a ajouté personne. Cependant, si le groupe est très actif, le message concernant l'ajout d'un nouvel utilisateur pourrait parfois passer inaperçu. En contrôlant directement les serveurs, les pirates disposent de pouvoirs supplémentaires. Par exemple, ils peuvent décider des messages à afficher dans la discussion et même envoyer des messages différents aux administrateurs du groupe. De cette façon, l'intrusion passe quasiment inaperçue, permettant aux attaquants de collecter facilement les données des utilisateurs.
WhatsApp en alerte
Des chercheurs de l'Université de la Ruhr ont déclaré avoir informé WhatsApp en juillet dernier, mais l'équipe de l'application de messagerie n'a pas jugé le bug suffisamment important pour justifier la récompense financière offerte par Facebook à quiconque découvre une faille sur l'une de ses plateformes. Certains employés de WhatsApp ont confirmé le problème à Wired, tout en soulignant que lorsqu'un nouveau membre est ajouté à une discussion, tous les utilisateurs sont avertis par message. Cela protégerait les données des utilisateurs.
Comment résoudre le problème
Selon les chercheurs, le problème pourrait être facilement résolu par une simple modification de WhatsApp : l'ajout d'une sorte d'authentification à deux facteurs pour ajouter un utilisateur à un nouveau groupe : une clé détenue uniquement par l'administrateur du groupe. Nous verrons si WhatsApp décide de suivre le conseil des chercheurs.
