WhatsApp : Des failles de sécurité permettent d’espionner des groupes WhatsApp

Quand WhatsApp a ajouté le chiffrement bout en bout à chaque conversation pour son milliard d’utilisateurs il y a deux ans, le géant de la messagerie mobile a considérablement élevé la barre pour la confidentialité des communications numériques dans le monde entier. Mais l’un des éléments délicats du chiffrement, et encore plus délicat dans un contexte de discussion de groupe, a toujours été de s’assurer qu’une conversation sécurisée n’atteigne que le public visé plutôt qu’un imposteur. Et selon de nouvelles recherches d’une équipe de spécialistes allemands de chiffrement, des failles dans WhatsApp facilitent l’espionnage et l’infiltration des discussions de groupe.

Le mythe du chiffrement bout à bout dans les groupes WhatsApp

Pendant la conférence sur la sécurité Real World Crypto à Zurich en Suisse, un groupe de chercheurs de l’Université de la Ruhr Bochum en Allemagne prévoit de publier une série de failles dans les applications de messagerie chiffrées, notamment WhatsApp, Signal et Threema. L’équipe affirme que leurs conclusions infirment les revendications de sécurité de chaque application pour les conversations de groupe multi-personnes à des degrés divers.

Alors que les failles de Signal et de Threema sont relativement inoffensives, les chercheurs ont découvert des failles bien plus importantes dans la sécurité de WhatsApp. Ils estiment que quiconque, contrôlant les serveurs de WhatsApp, pourrait facilement ajouter de nouvelles personnes dans un groupe privé même sans l’autorisation de l’administrateur qui est le seul qui contrôle l’accès à cette conversation.

La confidentialité du groupe est violée dès que le membre non invité peut lire tous les nouveaux messages selon Paul Rösler, un des chercheurs de l’Université de la Ruhr qui a co-écrit un article sur les vulnérabilités de la messagerie. Si j’entends qu’il existe, un chiffrement bout en bout pour les groupes et les communications, cela signifie que l’ajout de nouveaux membres doit être protégé, sinon la valeur du chiffrement est très faible.

Mais la faille est limitée, car il faut qu’on puisse contrôler les serveurs de WhatsApp. Mais on a déjà vu des pirates qui ont réussi à compromettre des serveurs internes ou des employés d’une entreprise. De plus, des gouvernements peuvent forcer WhatsApp à leur donner un accès. On a déjà vu la même chose avec le programme PRISM qui a révélé les Backdoors de la NSA chez Google, Facebook ou Microsoft. Et le principe du chiffrement bout en bout a toujours été que même un serveur compromis ne devrait pas exposer les informations confidentielles. Seules les personnes dans une conversation devraient pouvoir lire les messages de WhatsApp et non les serveurs.

Si vous construisez un système où tout repose sur la confiance du serveur, alors vous pouvez oublier le chiffrement bout à bout selon Matthew Green, professeur de chiffrement à l’université Johns Hopkins qui a passé en revue les travaux des chercheurs de Ruhr. C’est une erreur absolue et il n’y a pas d’excuse.

Les menaces sur les groupes WhatsApp

Les chercheurs allemands estiment que leur attaque WhatsApp exploite un simple bug. Seul un administrateur d’un groupe WhatsApp peut inviter de nouveaux membres, mais WhatsApp n’utilise aucun mécanisme d’authentification pour cette invitation qui peut être usurpé par les serveurs de WhatsApp. Ainsi, le serveur peut simplement ajouter un nouveau membre à un groupe sans interaction de la part de l’administrateur et le téléphone de chaque participant du groupe partage alors automatiquement les clés secrètes avec ce nouveau membre lui donnant un accès complet à tous les futurs messages. Mais heureusement, il est impossible pour l’infiltré de lire les messages envoyés avant l’intrusion.

Tout le monde dans le groupe verrait un message qu’un nouveau membre a rejoint sans l’invitation de l’administrateur. Si l’administrateur est attentif, il ou elle peut avertir les membres du groupe qu’un intrus a débarqué. Mais les chercheurs de l’Université de la Ruhr et Johns Hopkins soulignent plusieurs astuces qui pourraient être utilisées pour retarder la détection. Une fois qu’un attaquant, ayant le contrôle du serveur WhatsApp, a eu accès à la conversation, il peut également utiliser le serveur pour bloquer sélectivement tous les messages du groupe incluant ceux qui posent des questions ou fournir des avertissements concernant le nouveau participant.

Il peut mettre en cache tous les messages et décider qui peut les lire ou non selon Rösler. Et dans les groupes avec plusieurs administrateurs, le serveur piraté pourrait envoyer différents messages à chaque administrateur en faisant croire que ce sont les autres administrateurs qui ont invité l’intrus pour éviter de déclencher une alarme. Il pourrait même empêcher toute tentative de l’administrateur de supprimer l’espion si ce dernier était découvert.

Quelques limites à cette faille de WhatsApp

Dans une discussion avec WIRED, un porte-parole de WhatsApp a confirmé les conclusions des chercheurs, mais il a souligné que personne ne peut secrètement ajouter un nouveau membre à un groupe, car une notification est toujours envoyée sur le fait qu’un nouveau membre inconnu vient de rejoindre le groupe WhatsApp. Le porte-parole a ajouté que si un administrateur repère un espion dans un groupe, alors il peut toujours informer les autres utilisateurs via un autre groupe ou dans des messages privés. Et le porte-parole de WhatsApp a également noté que le fait de contrer l’attaque des chercheurs de la Ruhr University casserait probablement une fonctionnalité populaire de WhatsApp connue sous le nom de lien d’invitation de groupe permettant à n’importe qui de rejoindre un groupe en cliquant simplement sur une URL.

Nous avons examiné attentivement cette question selon le porte-parole de WhatsApp dans un courrier électronique. Les membres existants sont notifiés quand de nouvelles personnes sont ajoutées à un groupe WhatsApp. Nous avons construit WhatsApp afin que les messages de groupe ne puissent pas être envoyés à un utilisateur caché. La confidentialité et la sécurité de nos utilisateurs sont extrêmement importantes pour WhatsApp. C’est pourquoi nous collectons très peu d’informations et tous les messages envoyés sur WhatsApp sont chiffrés de bout en bout.

Pour être honnête, cette technique ne serait pas une stratégie très furtive à long terme pour l’espionnage gouvernemental. Tôt ou tard, les utilisateurs remarqueraient probablement que des inconnus apparaissent dans leurs conversations. Mais cette possibilité de détection n’est pas une solution adéquate au problème sous-jacent de WhatsApp selon Green de John Hopkins. C’est comme si on laissait la porte d’entrée ouverte d’une banque, puis on disait que personne ne la cambriolerait parce qu’il y a une caméra de sécurité selon Green. C’est totalement idiot.

Certains types d’utilisateurs de WhatsApp doivent se méfier

Les chercheurs de l’Université de la Ruhr ont averti WhatsApp sur le problème de la sécurité des messages de groupe en juillet dernier. En réponse à leur rapport, WhatsApp a déclaré qu’il a corrigé un problème avec une fonctionnalité de leur chiffrement qui augmentait la difficulté de cracker les futurs messages même après qu’un pirate ait obtenu une clé de déchiffrement. Mais ils ont dit aux chercheurs que le bug d’invitation de groupe WhatsApp était simplement théorique et qu’il n’était même pas digne d’être reconnu par le programme de récompense de Facebook qui donne de l’argent à des chercheurs qui trouvent des failles.

Pour certains utilisateurs de WhatsApp, les enjeux de la sécurité de l’application pourraient être importants. Les groupes de messagerie de WhatsApp, associés à ses promesses de chiffrement, en ont fait un outil populaire pour les réseaux sur les sujets sensibles ou dangereux. Les victimes d’abus sexuels et de harcèlement l’ont utilisé pour organiser la campagne contre les agresseurs. Il y a aussi des réfugiés politiques et les Casques blancs en Syrie qui sont des brigades de secours qui sont souvent la cible du régime en place.

Et ce type d’utilisateur, très sensible, devrait être méfiant sur la sécurité médiocre autour des discussions de groupe de WhatsApp selon Rösler. Si WhatsApp devait se conformer à une demande du gouvernement, aux États-Unis ou à l’étranger, alors les agents gouvernementaux pourraient rejoindre n’importe quel groupe privé et espionner toutes les conversations.

WhatsApp est de plus en plus visé ces derniers temps. Ainsi, on sait que c’est un jeu d’enfant de surveiller un compte WhatsApp avec un service comme un logiciel espion de téléphone.

Des problèmes moins importants dans Signal et Threema et l’indifférence de WhatsApp

Les chercheurs ont découvert des failles moins sérieuses dans les applications de messagerie sécurisées plus spécialisées telles que Signal et Threema. Ils avertissent que Signal autorise la même attaque de groupe que WhatsApp permettant aux intrus non invités de joindre des groupes. Mais dans le cas de Signal, l’espion devrait non seulement contrôler le serveur de signal, mais également connaître un nombre virtuellement inaccessible appelé l’ID de groupe. Cela bloque essentiellement l’attaque sauf si on peut obtenir l’ID de groupe à partir de l’un des téléphones du membre du groupe auquel cas le groupe est probablement déjà compromis. Les chercheurs estiment qu’Open Whisper Systems, l’organisation à but non lucratif qui exploite et gère Signal, a néanmoins réagi à leur travail en disant qu’il est actuellement en train de modifier la façon dont Signal traite les messages de groupe.

Pour Threema, les chercheurs ont trouvé des bugs encore plus insignifiants. Un attaquant, qui contrôle le serveur, peut lire des messages ou ajouter des utilisateurs dans un groupe qui a été supprimé. Les chercheurs ont déclaré que Threema a répondu à leurs conclusions avec une solution dans une version antérieure de son logiciel.

En ce qui concerne WhatsApp, les chercheurs écrivent que l’entreprise pourrait corriger sa faille de discussion de groupe Whatsapp la plus flagrante en ajoutant un mécanisme d’authentification pour les nouvelles invitations de groupe. À l’aide d’une clé secrète, seul l’administrateur aurait la possibilité d’authentifier ces invitations ce qui permettrait à l’administrateur de prouver son identité et d’empêcher les invitations falsifiées en excluant les intrus. WhatsApp a dédaigné ces conseils d’un revers de la main.

Jusqu’à ce qu’ils le fassent, les utilisateurs les plus sensibles de WhatsApp devraient envisager de rester dans des conversations individuelles ou de passer à une application de messagerie de groupe plus sécurisée comme Signal ou Telegram. Dans le cas contraire, il serait judicieux de surveiller les nouveaux arrivants dans leurs groupes WhatsApp. Jusqu’à ce qu’un administrateur se porte garant de ce nouveau venu, il y a une petite probabilité que cela puisse être un espion.

Traduction d’un article de Wired