Des cryptographes allemands ont trouvé un moyen d’infiltrer les discussions de groupe de WhatsApp malgré son cryptage de bout en bout.
WhatsApp conduit la plupart de nos communications aujourd’hui. Compte tenu de sa portée, même une seule porte dérobée porte potentiellement à des millions de personnes le risque de voir leurs conversations privées interceptées. Des chercheurs ont découvert une vulnérabilité dans les discussions de groupe cryptées sur les applications de messagerie WhatsApp et Signal qui pourraient permettre à un tiers d’accéder à des conversations personnelles et même de les manipuler.
Des chercheurs de la Ruhr-Universität Bochum (RUB) en Allemagne ont découvert que quiconque contrôle les serveurs WhatsApp ou Signal peut secrètement ajouter de nouveaux membres à n’importe quel groupe privé, leur permettant d’espionner des conversations de groupe, sans l’autorisation de l’administrateur du groupe.
WhatsApp a introduit le cryptage de bout en bout pour assurer aux utilisateurs que leurs conversations ne soient pas accessibles, même si l’entreprise décide de tenter l’expérience. Cependant, la recherche indique que les services de messagerie tels que WhatsApp, Threema et Signal n’ont pas réussi à atteindre un système de preuve à divulgation nulle de connaissance (zero-knowledge system).
Le but d’un cryptage de bout en bout est d’arrêter de faire confiance aux serveurs intermédiaires de telle sorte que même l’entreprise ou le serveur qui transmet les données peut déchiffrer les messages ou abuser de la position centralisée. Il joue un rôle important dans la sécurisation des applications contre trois types d’attaquants, y compris un utilisateur malveillant, un attaquant réseau et un serveur malveillant.
Les chercheurs expliquent, dans une communication par paire, où seulement deux utilisateurs communiquent entre eux, le serveur joue un rôle limité. Cependant, dans une conversation de groupe, le rôle des serveurs augmente pour fusionner l’ensemble du processus et c’est là que réside la vulnérabilité : faire confiance aux serveurs de l’entreprise pour gérer les membres du groupe qui ont accès à une conversation de groupe et leurs actions.
Selon la recherche, Signal et WhatsApp ne parviennent pas à authentifier correctement qui ajoute un nouveau membre au groupe et il est possible pour une personne non autorisée, qui n’est même pas un membre du groupe, d’ajouter quelqu’un à la discussion. Fait intéressant, l’administrateur compromis ou un employé malveillant ayant accès au serveur pourrait manipuler les alertes à d’autres membres du groupe afin qu’aucune notification d’une nouvelle personne les rejoignant soit envoyée.
L’attaquant peut casser la sécurité de la couche de transport et prendre le contrôle total d’un groupe. Cependant, cela laisse des traces car cette opération est répertoriée dans l’interface utilisateur graphique et le serveur WhatsApp peut ainsi utiliser le fait qu’il peut réordonner et supprimer des messages dans le groupe. Cela signifie essentiellement qu’un pirate peut potentiellement mettre en cache les messages envoyés pour les lire d’abord, puis réorganiser l’ordre dans lequel ils sont envoyés aux membres du groupe, ce qui conduit à une catastrophe.
Selon le rapport, WhatsApp a reconnu le problème, mais a fait valoir que les notifications de toute personne ajoutant un nouveau membre à un groupe seront envoyées à coup sûr.
Les chercheurs conseillent les services de messagerie de résoudre le problème en ajoutant simplement un mécanisme d’authentification pour s’assurer que les messages de gestion de groupe «signés» proviennent uniquement de l’administrateur du groupe. Comme l’attaque n’est pas facile à exécuter, les utilisateurs occasionnels ne doivent pas s’inquiéter de la même chose.
Pendant ce temps, WhatsApp a récemment ajouté une nouvelle fonctionnalité à son application qui permet aux utilisateurs de passer rapidement d’un appel vocal à un appel vidéo. La fonctionnalité est actuellement disponible en version bêta sur la plateforme Android.
