WhatsApp ne serait pas aussi sécurisé qu'on le pense : qu'en est-il du cryptage de bout en bout

WhatsApp aurait une faille de sécurité qui permettrait de divulguer des informations sur les paramètres des appareils liés à d'autres personnes.

L'expert en protection numérique a indiqué que le système de sécurité WhatsApp connu sous le nom d'E2EE indique le nombre d'appareils qu'une personne utilise.

Cela se produit car, lors de l'envoi d'un message, l'appareil de l'expéditeur crée une clé de sécurité différente pour chaque appareil appartenant à la personne qui recevra le message.

Autrement dit, pour chaque message envoyé, différents codes de sécurité sont créés pour chaque appareil auquel le contenu parviendra. De plus, il mentionne que ces informations peuvent être consultées sans aucune complication depuis un ordinateur.

Grâce aux fonctionnalités de développement de Google Chrome, vous pouvez examiner les détails d'une session Web WhatsApp, vous permettant ainsi de découvrir des données qui ne sont pas évidentes, comme les clés de sécurité créées pour chaque contact.

Si plusieurs touches apparaissent associées à un message, cela signifie que cette personne utilise WhatsApp sur plusieurs appareils avec son numéro.

Cependant, ce n’est pas parce que ces clés sont visibles que le chiffrement de bout en bout, qui protège les conversations, est compromis. Un tel cryptage est toujours efficace, mais l'existence de plusieurs clés révèle combien d'appareils sont liés au compte WhatsApp.

En appliquant la procédure susmentionnée, les attaquants ont la possibilité de vérifier passivement les données sur les appareils des utilisateurs de WhatsApp.

De cette façon, ils peuvent découvrir si les utilisateurs disposent d'appareils supplémentaires et identifier toute modification apportée aux informations sur ces appareils en observant constamment ces données.

Grâce à ces informations, les attaquants peuvent choisir la stratégie la plus simple et décider d’attaquer l’appareil supplémentaire avant le principal, car ces appareils sont généralement plus vulnérables.

De plus, ils peuvent personnaliser leurs attaques en envoyant du code malveillant aux appareils mobiles principaux, tout en envoyant des messages qui n'éveillent pas de suspicion aux navigateurs ou appareils secondaires.

Enfin, ces attaquants ont la possibilité d'identifier si les victimes ont changé de téléphone portable ou d'ordinateur . Cela leur permettrait de lancer de nouvelles attaques ou de profiter de toute vulnérabilité que pourrait présenter la nouvelle plateforme ajoutée par l'utilisateur.

" Peut-être qu'un harceleur pourrait déduire que je suis chez moi ou non, selon l'appareil que j'utilise ", a déclaré Harlo Holmes, directeur de la sécurité de l'information et de la sécurité numérique à la Freedom of the Press Foundation.

Le spécialiste suggère que pour résoudre globalement ce problème de confidentialité, il est nécessaire d'apporter des ajustements au protocole de cryptage de bout en bout (E2EE) utilisé par WhatsApp.

Be'ery aurait informé Meta de ses découvertes le 9 janvier, mais l'entreprise, propriétaire de WhatsApp, ne les aurait pas considérées comme des erreurs de programmation de l'application.

Meta pense que ces problèmes seraient liés à la façon dont le protocole de sécurité est conçu et, apparemment, ils ne prévoient pas d'apporter de modifications à l'application.

Tant qu'aucune modification n'est apportée au protocole E2EE de WhatsApp, il est recommandé, par mesure de précaution, de dissocier et de se déconnecter de l'application chaque fois que vous arrêtez d'utiliser un appareil complémentaire tel qu'un ordinateur ou une tablette.