WhatsApp : une faille rendrait l’application vulnérable à l’espionnage
Le quotidien britannique « The Guardian » a affirmé vendredi qu’une « porte dérobée » permettait d’avoir accès aux conversations cryptées de la messagerie.
L’application de messagerie WhatsApp détenue par Facebook possède une porte dérobée (« backdoor ») la rendant vulnérable à l’espionnage, a affirmé vendredi le quotidien britannique The Guardian. Tobias Boelter, un chercheur en cryptographie et sécurité de l’université de Californie à Berkley, a expliqué au journal avoir découvert la présence d’une « porte dérobée » permettant d’avoir accès aux conversations cryptées du plus d’un milliard d’usagers que compte WhatsApp, alors que ces conversations sont censées être protégées par le chiffrement de bout en bout.
Cette porte dérobée, affirme The Guardian, permet à WhatsApp de récupérer, lorsque les téléphones sont éteints, des messages cryptés envoyés mais pas encore lus. WhatsApp peut alors les déchiffrer et les envoyer à nouveau au destinataire qui n’est pas informé du changement de chiffrement. L’expéditeur est, quant à lui, prévenu seulement s’il a activé une option de sécurité. Cette nouvelle opération de cryptage permet en pratique à WhatsApp d’intercepter et de lire les messages de ses utilisateurs, explique The Guardian.
« Une faille très sérieuse »
Boelter estime donc que « si WhatsApp se voit demander par une agence gouvernementale de révéler ses messages archivés, il peut tout à fait donner accès [à ces archives] grâce aux changements dans les clés » de cryptage. Un porte-parole de WhatsApp s’est défendu d’offrir « toute porte dérobée vers ses systèmes » et a ajouté que WhatsApp « se battra contre toute demande de gouvernement réclamant la création d’une porte dérobée », dans un communiqué. Il a justifié la possibilité de forcer la génération de nouvelles clés de cryptage comme une facilité offerte à ses clients qui dans de nombreux pays changent fréquemment de carte Sim et d’appareil téléphonique, afin que leurs messages ne soient pas perdus. Steffen Tor Jensen, responsable de la sécurité et de la contre-surveillance digitale de l’Organisation européenne-bahreïnite pour les droits de l’homme, a vérifié les découvertes du chercheur américain, selon The Guardian.
« WhatsApp peut effectivement continuer de changer les clés de sécurité quand les téléphones sont hors ligne et renvoyer le message sans que les utilisateurs aient connaissance du changement » avant que celui-ci ait lieu, a-t-il dit, qualifiant le service de « plateforme extrêmement peu sûre ». Pour Kevin Bocek, stratégiste en chef en matière de sécurité chez Venafi, une société de cybersécurité, « il s’agit d’une faille très sérieuse. WhatsApp a besoin de connaître comment les clés sont protégées afin de sécuriser et de maintenir privées les communications de plus d’un milliard d’utilisateurs ».
