En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.
Pour en savoir plus et paramétrer les cookies… Fermer

publicité

Polémique sur la fiabilité du chiffrement de Whatsapp

Sécurité : Plusieurs chercheurs s’inquiètent d’une potentielle faille découverte dans le protocole de chiffrement des messages du groupe utilisé par Whatsapp, Signal et plusieurs autres messageries chiffrées. Mais celle-ci n’a pas été jugée suffisamment inquiétante par les équipes de Whatsapp pour mériter d’être corrigée.

Il y a des failles qui mettent tout le monde d’accord et celles qui n’en sont pas. Entre les deux, il y a toute une zone grise de failles que l’on peine à considérer comme de véritables vulnérabilités, mais qui ouvrent néanmoins la voie à des scénarios d’attaque possibles. C’est le cas de cette nouvelle vulnérabilité découverte dans le protocole utilisé par Whatsapp, Signal et Threema par des chercheurs allemands. Leur découverte, présentée dans le cadre de la conférence Real World Crypto qui se déroule actuellement à Zurich, interroge les limites du protocole utilisé par Signal, Whatsapp et d’autres applications de messagerie chiffrées.

Celle-ci expose un scénario d’attaque qui pourrait permettre à un attaquant de récupérer les messages échangés dans un groupe de discussion entre plusieurs utilisateurs de l’application, sans que ceux-ci ne s’aperçoivent de l’interception des messages.

Les groupes, talons d’Achille des messageries sécurisées ?

Le chiffrement de Whatsapp est présenté comme étant un chiffrement de bout en bout, ce qui signifie que les messages sont chiffrés sur le terminal de l’expéditeur et déchiffrés sur celui du récepteur, sans qu’aucun intermédiaire entre les deux ne soit en mesure de déchiffrer ceux-ci. Si cette implémentation fonctionne pour les échanges entre deux utilisateurs, les chercheurs ont découvert que celui-ci était moins évident dès lors que les utilisateurs ont recours à une conversation de groupe. Si l’attaquant parvient à prendre le contrôle des serveurs utilisés par Whatsapp. Si celui-ci y parvient, avec ou sans l’accord de Whatsapp, il pourrait ainsi s’ajouter aux groupes de discussions et récupérer les clefs utilisées pour le chiffrement des messages échangés par les membres du groupe, et donc les intercepter et les déchiffrer sans problème.

 

Les détails de la faille sont expliqués dans un article de Wired ainsi que dans un article scientifique publié par les chercheurs. L’attaque présentée est envisageable sur plusieurs applications de messagerie testées par les chercheurs, celles-ci partagent en effet la particularité d’implémenter chacune à leur façon le protocole de chiffrement des messages instantanés développé pour Signal. Mais plusieurs experts en sécurité viennent minimiser la portée de cette faille de sécurité et les équipes de Whatsapp estiment que corriger celle-ci n’en vaudrait pas la peine.

Dans une série de tweets, le RSSI de Facebook Alex Stamos revient ainsi en détail sur la faille de sécurité et signale plusieurs détails qui viendrait rendre impossible le scénario d’attaque envisagé par les chercheurs : d’une part, l’attaquant ne pourrait pas accéder aux messages échangés par le passé sur le groupe. D'autre part, les membres du groupe seraient obligatoirement avertis de l’ajout d’un nouveau membre à la conversation de groupe.

Sécurité et visibilité, pas toujours évident à gérer

Stamos en profite pour ajouter que l’implémentation du correctif proposé par les chercheurs forcerait Whatsapp à se séparer d’une fonctionnalité très appréciée des utilisateurs, les liens d’invitation, qui permettent d’envoyer un simple lien à cliquer pour inviter un nouvel utilisateur à la conversation. Whatsapp prend bonne note des remarques des chercheurs, mais classe donc ce bug dans la colonne « Won’t Fix. » Ce n’est pas la première fois que Whatsapp se retrouve confronté à ce type de problématique : en 2017, un article du Guardian détaillait un scénario d’attaque possible qui visait là aussi le protocole de chiffrement utilisé par Whatsapp.

Dans un commentaire publié sur Hackernews, Moxxie Marlinspike le créateur de l’application Signal revient sur ces accusations. Selon lui, les applications telles que Whatsapp et Signal sont des cibles privilégiées pour les chercheurs précisément, car leur sécurité est de très haut niveau. A contrario, Telegram n’implémente aucun chiffrement sur les messages de groupe, ce qui le rend sans intérêt pour les chercheurs, mais lui permet de se présenter comme une application de messagerie chiffrée et de ne pas avoir à justifier tous ses choix d’implémentation.

Pour une application de messagerie chiffrée, une meilleure sécurité peut donc vous coûter cher en termes d’image, car quelqu’un sera toujours là pour tenter de relever le défi et de trouver des failles au sein du système.

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

Connectez vous ou Enregistrez-vous pour commencer la discussion
publicité