Des chercheurs en cybersécurité ont révélés une vulnérabilité au sein de l’application d messagerie Whatsapp. Elle pourrait permettre à un attaquant de compromettre le secret des conversations au sein d’un groupe ciblé.
La messagerie sécurisée et chiffrée Whatsapp (un concurrent de Telegram) semble souffrir d’une faille de sécurité affectant les groupes de conversations : un attaquant qui aurait accès à un groupe serait alors en mesure de passer outre le chiffrement et d’accéder à l’ensemble des conversations.
Whatsapp est aujourd’hui l’application de messagerie sécurisée la plus utilisée dans le monde et appartient à Facebook. Le chiffrement déployé est réputé inviolable, ce qui créer parfois la controverse… notamment en cas de refus de collaboration avec les autorités en cas de requête spécifique en justice.
Mais voilà, si cette vulnérabilité porte un coup fatal au chiffrement, c’est tout le concept de l’application qui s’écroule ! D’où l’importance cruciale de la vulnérabilité en question. C’est une équipe de chercheurs de l’Université de la Ruhr à Bochum (Allemagne) qui à révélé l’existence d’une vulnérabilité découverte en juillet dernier, et qui permet de compromettre le secret des conversations au sein d’un groupe. Une faille similaire affecterait également les messageries Signal et Threema, mais à un degré moindre.
Concrètement, la faille en question permet de prendre le contrôle d’un serveur appartenant à Whatsapp, et d’insérer dans n’importe quel groupe de conversation hébergé sur ce serveur un ou plusieurs nouveaux participants, sans avoir à en demander la permission à l’administrateur du groupe. Et la manœuvre est très facile, car Whatsapp n’a prévu aucun mécanisme d’identification pour les invitations émanant de ses propres serveurs.
Une fois intégré au groupe visé, le nouveau membre a accès à l’intégralité de la conversation en cours. Mais les messages échangés avant son arrivée lui resteront inaccessibles. L’attaquant, en étant maître du serveur, pourra aussi bloquer les notifications de l’arrivée de l’intrus, et effacer à sa guise les messages produits par les membres du groupe. Whatsapp se veut rassurant, en rappelant que deux membres pourront toujours communiquer en ligne directe s’ils ont un doute sur un nouvel invité, et qu’un intrus ne sera jamais totalement invisible.
Source : Clubic