Des chercheurs en cybersécurité viennent de révéler les détails d’une faille découverte chez Whatsapp. Celle-ci permet à un attaquant d’accéder au contenu de conversations en théorie secrètes et cryptées des utilisateurs de la messagerie.
Le risque est cependant limité, car l’attaquant doit, pour accéder aux discussions, intégrer le groupe qu’il cible.
Une faille découverte en juillet 2017
Comme Telegram, c’est l’une des forces de Whatsapp, et l’une des composantes de son succès : devenue en mai dernier la plus utilisée dans le monde, la messagerie, propriété de Facebook, met volontiers en avant son cryptage réputé inviolable. Un chiffrement qui lui vaut des pressions de plusieurs gouvernements dans le monde, de nombreuses enquêtes butant sur le refus de la compagnie de collaborer avec la justice.
C’est donc un sérieux coup que Whatsapp doit encaisser ces jours-ci : une équipe de chercheurs de l’Université de la Ruhr à Bochum (Allemagne) vient de révéler l’existence d’une vulnérabilité découverte en juillet dernier, et qui permet de compromettre le secret des conversations. Une faille similaire affecterait également les messageries Signal et Threema, mais à un degré moindre.
L’attaquant jamais totalement invisible
Techniquement, la faille permet de prendre le contrôle d’un serveur appartenant à Whatsapp, et d’insérer dans n’importe quel groupe de conversation hébergé sur ce serveur un ou plusieurs nouveaux participants, sans avoir à en demander la permission à l’administrateur du groupe. Et la manoeuvre est très facile, car Whatsapp n’a prévu aucun mécanisme d’identification pour les invitations émanant de ses propres serveurs.
Une fois intégré au groupe visé, le nouveau membre a accès à l’intégralité de la conversation en cours. Mais les messages échangés avant son arrivée lui resteront inaccessibles. L’attaquant, en étant maître du serveur, pourra aussi bloquer les notifications de l’arrivée de l’intrus, et effacer à sa guise les messages produits par les membres du groupe. Whatsapp se veut rassurant, en rappelant que deux membres pourront toujours communiquer en ligne directe s’ils ont un doute sur un nouvel invité, et qu’un intrus ne sera jamais totalement invisible.
