Dans les années WhatsApp a investi massivement dans la sécurité des données des utilisateurs. L'authentification à deux facteurs et le cryptage de bout en bout des conversations ont été introduits grâce à Open Whisper Systems. Surtout, cette dernière décision nous a permis d’améliorer la confidentialité et de nous protéger des pirates informatiques.

L’avancée de l’introduction du chiffrement de bout en bout au sein de l’application a été saluée tant par les utilisateurs que par les experts. L'utilisation de chiffrement de bout en bout cela devrait vous faire penser que les données des utilisateurs sont en sécurité et que personne ne peut s'immiscer dans leurs conversations. Mais en réalité, ce n’est pas le cas. C’est ce qui ressort d’une recherche menée de l'Université de la Ruhr à Bochum (en Allemagne) qui a découvert la présence d'un faille au sein des serveurs WhatsApp.

Ce que les chercheurs ont découvert

L’étude a été présentée lors de la conférence sur la sécurité Real World Crypto et a immédiatement suscité beaucoup de buzz.

La recherche a révélé des failles dans trois applications de messagerie instantanée : WhatsApp, Signal et Threema. Bien que les problèmes rencontrés dans les deux dernières applications soient facilement réparables, le Bogue de WhatsApp cela mettrait potentiellement en danger toutes les conversations de groupe. Selon les chercheurs, une faille permettrait à toute personne ayant accès aux serveurs WhatsApp d’ajouter des personnes à des conversations de groupe, sans demander le consentement des administrateurs. En raison de ce bug, les pirates pourraient accéder aux discussions sans que personne ne le remarque et commencer à collecter des données utilisateur.

L’accès aux serveurs WhatsApp permettrait aux pirates d’avoir un contrôle absolu sur les conversations de groupe. Lorsque vous ajoutez quelqu'un à une discussion, un message apparaît dans la discussion, alertant les autres utilisateurs. Si un attaquant ajoutait l'utilisateur via une falsification au niveau du serveur, un administrateur de groupe pourrait avertir les autres utilisateurs qu'il n'avait ajouté personne. Mais si le groupe est très actif, dans les cas 99%, le message d'ajout d'un nouvel utilisateur peut passer inaperçu. En contrôlant directement les serveurs, les pirates disposent également d’autres pouvoirs. Par exemple, ils peuvent décider quels messages afficher dans le chat et également envoyer différents messages aux administrateurs du groupe. De cette manière, l'intrusion passe presque inaperçue et les attaquants peuvent facilement collecter les données des personnes.

WhatsApp en alerte

Des chercheurs de l'Université de la Ruhr ont déclaré avoir alerté WhatsApp en juillet de l'année dernière, mais le personnel de l'application de messagerie instantanée n'a pas jugé le bug suffisamment important pour mériter la récompense en espèces que Facebook offre à quiconque découvre une faille dans l'une de ses plateformes. Certains employés de WhatsApp ont confirmé le problème à Wired, mais ont souligné que lorsqu'un nouveau membre est ajouté à un chat, tous les utilisateurs sont avertis via un message. Et cela sécuriserait les données des utilisateurs.

Comment résoudre le problème

Selon les chercheurs, le problème pourrait être résolu facilement, il suffirait que WhatsApp effectue un simple changement. Ajoutez une sorte d'authentification à deux facteurs pour ajouter un utilisateur à un nouveau groupe : une clé détenue uniquement par l'administrateur du groupe. Nous verrons si WhatsApp décide de suivre les conseils des chercheurs.