Des chercheurs en cybersécurité allemands viennent de découvrir une vulnérabilité dans les discussions de groupe Whatsapp permettant à un hacker malintentionné d’accéder à leur contenu qui est en théorie secret et crypté. La faille concernerait également les protocoles de Signal et Threema, mais dans une moindre mesure.
L’attaquant doit cependant intégrer le groupe en question pour cela, limitant le risque. La faille tombe donc dans le groupe des vulnérabilités que l’on peine à considérer comme de réelles menaces, mais elle ouvre néanmoins la voie à de possibles menaces. Elle a été présentée à Zurich lors de la conférence Real World Crypto par un groupe de chercheurs de l’Université de la Ruhr à Bochum en Allemagne.
L’une des forces du réseau de messagerie et sans doute l’une des raisons de son succès est son système de cryptage réputé infaillible, le chiffrement utilisé par whatsapp est un chiffrement de bout en bout ce qui signifie que les messages sont chiffrés sur le terminal de l’expéditeur et déchiffrés sur le terminal du récepteur. Plusieurs gouvernements se sont heurtés au refus de la compagnie, propriété de Facebook et plateforme de messagerie la plus utilisée dans le monde de collaborer avec la justice sur ces questions de chiffrement.
Les chercheurs ont découvert que si cette implémentation fonctionne parfaitement lors d’échanges entre deux personnes. Il est plus délicat dans le cadre d’une conversation de groupe. Ainsi dans le scénario où l’attaquant a accès aux serveurs de Whatsapp avec ou sans l’accord de l’entreprise, il pourra intégrer des groupes de discussions et récupérer les clés de chiffrement des messages échangés, les interceptant et les déchiffrant sans problème. Les messages antérieurs à son arrivée dans le groupe demeureront inaccessibles. L’attaquant pourra également bloquer les notifications de l’arrivée de l’intrus et effacer les messages comme bon lui semble.
Le correctif proposé par les chercheurs obligerait l’application à se séparer des liens d’invitation, fonctionnalité très appréciée des utilisateurs. Whatsapp classe le bug dans la catégorie « won’t fix », mais prend note et rassure ses utilisateurs en affirmant qu’un intrus ne sera jamais totalement invisible et qu’en cas de doute, deux personnes pourront toujours communiquer en ligne directe sans utiliser le groupe.