WhatsApp n’est pas à l’abri de l’espionnage

En 2016, lorsque WhatsApp a proposé le chiffrement des appels et des discussions pour ses milliards d’utilisateurs, le géant de la messagerie mobile a voulu apporter une protection suffisante aux communications numériques et assurer la confidentialité des données personnelles appartenant à ses usagers. Cependant, cette solution sécuritaire reste délicate dans la mesure où elle manque de contrôle sur les agissements d’un imposteur ou un infiltré, lors d’une conversation sécurisée entre les membres d’un groupe privé. L’intrusion, pour espionnage ou autre, est désormais avérée.

Selon un article scientifique publié, aux annales du troisième Symposium européen de l’IEEE sur la sécurité et la confidentialité, par Paul Rosler, Christian Mainka et Jorg Schwenk trois cryptographes allemands, il y a des failles dans WhatsApp qui rendent l’infiltration des discussions de groupes privées plus facile.

Ce groupe de chercheurs a mis en évidence une série de failles dans les applications de messagerie cryptées de WhatsApp. Ils ont prouvé l’existence de plusieurs failles sécuritaires permettant à des intrus de lire en clair des conversations cryptées de bout en bout en dépit des assurances sécuritaires apportées par les développeurs de l’application. Quiconque qui trouvera le moyen illicite de contrôler les serveurs de WhatsApp, pourrait facilement insérer de nouvelles personnes dans un groupe privé sans recourir à l’autorisation de l’administrateur qui doit surveiller l’accès à toute conversation.
Dès qu’un membre non invité peut avoir accès à tous les nouveaux messages pour les lire, la confidentialité du groupe est cassée. La valeur du chiffrement de bout en bout devient alors insignifiante. C’est ce qu’ont souligné les chercheurs, rattachés à l’université de la Ruhr, en Allemagne, dans leur publication. Il est à rappeler que le cryptage de bout en bout repose sur le principe qu’un serveur ne devrait pas exposer les secrets d’un groupe privé. Seules les personnes actives dans une conversation devraient pouvoir lire les messages de WhatsApp et non les serveurs eux-mêmes.

Lire aussi WhatsApp suspend le changement des conditions d’utilisation

Les chercheurs allemands ont révélé dans leur article qu’un simple bug peut faire apparaitre un certain discrédit sur la politique de la confidentialité de WhatsApp. Il faut savoir que l’algorithme implémenté de cette application prévoit que seul l’administrateur d’un groupe WhatsApp peut valider l’arrivée de nouveaux membres au groupe.

Mais, les cryptographes allemands ont relevé que l’algorithme de WhatsApp ne prévoit aucune forme d’authentification aux invitations émises. Ainsi, le serveur peut simplement ajouter un nouveau membre à un groupe sans émettre d’accusé d’information à l’administrateur réseau, et le terminal d’accès de chaque membre du groupe partage alors automatiquement les clés secrètes du chiffrement avec ce nouveau membre, lui donnant un accès complet à tous les messages échangés après son arrivée dans le groupe.

Pire, l’invité « clandestin » peut utiliser beaucoup d’astuces pour éviter d’être repéré par l’administrateur. Il peut même décider d’utiliser le serveur lui-même pour bloquer ou rendre invisible tous les messages du groupe qui fournissent des avertissements sur la présence de membres intrus dans le groupe, et également empêcher toute tentative de l’administrateur de supprimer le statut d’un membre infiltré. Par ailleurs, selon plusieurs experts en cyberintelligenc, cette stratégie d’infiltration numérique ne peut aucunement être exploitée à long terme dans l’espionnage gouvernemental.
Tôt ou tard, les utilisateurs remarqueraient inévitablement que des inconnus apparaissaient dans leurs conversations chiffrées. Cependant, cette probabilité de détection ne peut constituer la solution définitive à cette faille sécuritaire. C’est comme si on laissait la porte d’entrée d’un domicile ouverte et dire par la suite que personne n’osera rentrer en raison de la présence d’une caméra de surveillance.

Pour faire face à cette faille sécuritaire, les chercheurs allemands ont indiqué qu’une solution d’authentification destinée aux nouvelles invitations du groupe peut apporter plus de confidentialité dans l’algorithme de WhatsApp. Selon eux, avec une clé secrète, l’administrateur aura la possibilité de signer toute invitation de rejoindre un groupe privée, ce qui lui permettrait d’empêcher les invitations falsifiées.