Des cryptographes allemands ont découvert l'existence d'une faille de sécurité dans l'application WhatsApp. En théorie, toute personne ayant accès aux serveurs du service pourrait forcer l'ajout de nouveaux membres dans des discussions de groupe. La firme n'a pas l'intention d'y remédier.

Le chiffrement sur WhatsApp est-il infaillible ? La réponse est non, si l’on en croit la récente découverte faite par des cryptographes allemands. L’application, qui a dépassé le milliard d’utilisateurs en juillet 2017, serait victime d’une faille qui permettrait de lire en clair des conversations malgré le chiffrement des messages de bout en bout.

Leur annonce a eu lieu lors de la Real World Crypto 2018, une conférence organisée le 10 janvier dernier à Zurich en Suisse et réunissant des spécialistes de la cryptographie et des développeurs.

L’autorisation de l’administrateur non requise

Les chercheurs, rattachés à l’université de la Ruhr, en Allemagne, ont expliqué qu’un tiers qui parviendrait à contrôler les serveurs de l’application serait en mesure de forcer l’ajout de nouveaux membres dans des conversations de groupe privées. Et ce, sans avoir besoin d’une autorisation préalable de la part de l’administrateur de la conversation. Or, cela a soulevé une crainte sur la confidentialité des messages.

Le principe du chiffrement de bout en bout est de rendre les messages illisibles à toutes les personnes auxquelles ils ne sont pas destinés. Y compris à l’opérateur ou au fournisseur du service. Ainsi, les serveurs de WhatsApp qui sont chargés de transmettre le message de l’émetteur vers le destinataire ne sont pas en mesure de le déchiffrer, puisqu’ils ne sont pas en possession de la clé.

CC Santeri Viinamäki

« La valeur de ce chiffrement est faible »

« La confidentialité du groupe est brisée dès lors que le membre non invité peut accéder à tous les nouveaux messages et les lire. Si je suis informé qu’il existe un chiffrement de bout en bout, à la fois pour les groupes et les conversations à deux, cela signifie que l’ajout de nouveaux membres devrait être sécurisé. Si ce n’est pas le cas, la valeur de ce chiffrement est très faible », a déclaré Paul Rösler, l’un des spécialistes à l’origine de la découverte.

Il semblerait ainsi que WhatsApp se trouve confronté à un sérieux risque de sécurité, bien que difficile à exploiter puisqu’il requiert en condition préalable le contrôle des serveurs de la firme, filiale de Facebook. Néanmoins, Alex Stamos, le responsable de la sécurité du réseau social américain, ne paraît guère alarmé : il a fait savoir sur Twitter que l’entreprise n’a pas l’intention de remédier au défaut relevé par les chercheurs.

« WhatsApp s’est intéressé attentivement à l’étude », écrit-il, avant d’ajouter un peu plus loin que « les notifications claires et les multiples manières de vérifier qui est dans votre groupe empêchent une écoute silencieuse. Le contenu des messages envoyés dans les groupes WhatsApp reste protégé par le chiffrement de bout en bout. » WhatsApp estime ainsi que les membres de la discussion privée seraient tenu au courant de la présence d’un intrus.

Il y a un an, la rumeur selon laquelle l’application WhatsApp contenait une porte dérobée avait déjà fait grand bruit. Des experts en cryptographie étaient finalement tombés d’accord pour dire que la prétendue backdoor n’en était en fait pas une.

Partager sur les réseaux sociaux