L’équipe de sécurité de WhatsApp a découvert une vulnérabilité qui lui permet de déterminer quels utilisateurs communiquent entre eux, à quels groupes privés ils appartiennent et où ils se trouvent. Les experts craignent que cette faille ne soit exploitée par les gouvernements.
WhatsApp souffre d’une grave faille de sécurité. L’équipe de sécurité de la messagerie a découvert une vulnérabilité dans le fonctionnement de l’application en mars dernier, rapportent nos confrères de The Intercept.
Selon les chercheurs employés par Meta, la vulnérabilité laisse potentiellement « organismes gouvernementaux » déterminer quels utilisateurs communiquent entre eux. Cela pourrait également permettre de découvrir à quels groupes privés appartiennent les utilisateurs. Enfin, la localisation géographique des utilisateurs pourrait également être compromise. En revanche, le contenu des conversations reste sécurisé. Il n’y a donc aucun moyen d’espionner vos messages. La confidentialité reste garantie par le cryptage de bout en bout de WhatsApp, basé sur le protocole open source Signal.
A lire aussi : WhatsApp pourra bientôt générer votre photo de profil grâce à l’IA
Comment fonctionne la vulnérabilité qui permet de surveiller les utilisateurs de WhatsApp ?
Dans un avertissement interne adressé à leurs collègues, les experts en cybersécurité révèlent que la faille repose sur Analyse du trafic Internet. Utilisée depuis plusieurs décennies, cette méthode de surveillance consiste à surveiller les données circulant sur Internet, via des appareils tels que des routeurs, des commutateurs et des sondes réseau. En examinant les données collectées, un attaquant peut savoir quels appareils échangent des messages et à quelle fréquence. Cette approche permet de savoir qui parle avec qui sur une messagerie, même sans voir le contenu des messages.
« L’inspection et l’analyse du trafic réseau nous sont totalement invisibles, mais elles révèlent les liens entre nos utilisateurs : qui fait partie d’un groupe, qui envoie des messages à qui et (le plus difficile à cacher) qui appelle Qui « indique le rapport interne.
Les chercheurs se sont particulièrement intéressés attaques dites de corrélation. Ils permettent de contourner le chiffrement et de violer la confidentialité des échanges sur WhatsApp. Concrètement, lorsque quelqu’un envoie un message à un groupe, une quantité de données de même taille est envoyée à tous les membres. Il est donc possible de deviner qu’un message groupé a été envoyé. De plus, en calculant le délai entre l’envoi et la réception des messages, un attaquant peut estimer la distance et l’emplacement des utilisateurs.
De l’avis des chercheurs, cette brèche est particulièrement intéressante pour les gouvernements cherchant à espionner les dissidents. C’est pourquoi ils exhortent WhatsApp à « atténuer l’exploitation continue des vulnérabilités de l’analyse du trafic qui permettent aux États-nations de déterminer qui parle à qui »croyant que le « Les utilisateurs à risque ont besoin de protections robustes et viables contre l’analyse du trafic ».
Les inquiétudes des salariés de Meta
Interviewées par The Intercept, quatre sources internes et anonymes ont révélé que la vulnérabilité avait suscité l’inquiétude du personnel de Meta suite aux révélations concernant « Lavande », l’IA israélienne a utilisé pour cibler les civils à Gaza. Ce logiciel est conçu pour « croiser les sources de renseignement, afin de produire des couches d’informations à jour sur les agents militaires des organisations terroristes », précise Israël. Selon une enquête du site d’information israélo-palestinien +972, Israël utilise principalement l’IA pour automatiser l’identification et l’élimination des combattants du Hamas. Parmi les sources de données qui alimentent « Lavande », on retrouverait WhatsApp. Selon l’enquête, « WhatsApp fait partie de la multitude de caractéristiques personnelles et de comportements numériques que l’armée israélienne utilise pour marquer les Palestiniens ».
En fait, WhatsApp n’est pas ce n’est pas la seule application de messagerie vulnérable. Selon les chercheurs, tous les services de messagerie révèlent potentiellement des informations confidentielles sur leurs utilisateurs à leur insu. Comme le souligne Christina LoNigro, porte-parole de Meta, cette faille n’est pas spécifique à WhatsApp. Elle précise également qu’il ne s’agit que d’une vulnérabilité « théorique ». Le groupe californien indique qu’il ne « aucune preuve de vulnérabilités dans le fonctionnement de WhatsApp »contredisant ainsi le rapport de ses propres chercheurs.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
Source :
L’interception
