Le chiffrement de WhatsApp n'empêche pas l'infiltration numérique

Publication: Mis à jour:
WHATSAPP
The Whatsapp messaging application is seen on a iPhone on December 1, 2017. (Photo by Jaap Arriens/NurPhoto via Getty Images) | NurPhoto via Getty Images
Imprimer

Lors de la conférence "Real World Crypto 2018" qui réunit des spécialistes de la cryptographie et des développeurs d’applications, qui s’est tenue le 10 janvier dernier à Zurich (Suisse), un groupe de chercheurs allemands a mis en évidence une série de failles dans les applications de messagerie cryptées de WhatsApp.

En 2016, lorsque WhatsApp a proposé le chiffrement des appels et des discussions pour son milliard d’utilisateurs, le géant de la messagerie mobile a voulu apporter une protection suffisante des communications numériques et assurer la confidentialité des données personnelles des usagers. Cependant, cette solution de sécurité reste délicate dans la mesure où elle manque de contrôle sur les agissements d’un imposteur ou d’un infiltré lors d’une conversation entre les membres d’un groupe privé.

En effet, selon des travaux de recherche d'une équipe de spécialistes allemands en cryptographie, il existe de nombreuses failles dans l’application WhatsApp rendant l'infiltration des discussions dans les groupes privés plus facile et quasiment indétectable.

Lors de la conférence Real World Crypto 2018 qui réunit des spécialistes de la cryptographie et des développeurs et qui s’est tenue le 10 janvier dernier, à Zurich, en Suisse, un groupe de chercheurs allemands a mis en évidence une série de failles dans les applications de messagerie cryptées de WhatsApp.

Selon les résultats de ces recherches, les failles de sécurité dans WhatsApp permettraient à des intrus de lire en clair des conversations supposées cryptées de bout en bout, en dépit des assurances apportées par les développeurs de l’application.

Quiconque qui trouvera le moyen illicite de contrôler les serveurs de WhatsApp pourrait facilement insérer de nouvelles personnes dans un groupe privé sans recourir à l’autorisation de l’administrateur qui doit surveiller l’accès à toute conversation. Dès lors, un membre non invité peut avoir accès à tous les nouveaux messages les lire et les copier, cassant ainsi la confidentialité du groupe privé.

La valeur du chiffrement de bout en bout devient alors insignifiante devant ce genre d’intrusions. C’est ce qu’ont souligné les chercheurs rattachés à l’université de la Ruhr, en Allemagne, dans leur publication. Il est à rappeler que le cryptage de bout en bout repose sur le principe qu’un serveur ne devrait pas exposer les secrets d’un groupe privé. Seules les personnes actives dans une conversation devraient pouvoir lire les messages de WhatsApp et non les serveurs eux-mêmes.

Une solution d’authentification

Les chercheurs allemands ont révélé dans leur article qu’un simple bug peut faire discréditer toute la politique de la confidentialité de WhatsApp. Il faut savoir que l’algorithme implémenté de cette application prévoit que seul l’administrateur d'un groupe de discussion WhatsApp peut valider l’arrivée de nouveaux membres. Mais, les cryptographes allemands ont relevé que l’algorithme en question ne prévoit aucune forme d’authentification aux invitations d’accès aux groupes.

Ainsi, le serveur peut simplement ajouter un nouveau membre à un groupe sans émettre aucun accusé d’information à l'administrateur réseau, et le terminal d’accès de chaque membre du groupe partage alors automatiquement les clés secrètes du chiffrement avec ce nouveau membre, lui donnant un accès complet à tous les messages échangés après son arrivée

dans le groupe. Pire, l’invité « clandestin » peut utiliser beaucoup d’astuces pour éviter d’être repéré par l’administrateur. Il peut même décider d’utiliser le serveur lui-même pour bloquer ou rendre invisible tous les messages du groupe qui fournissent des avertissements sur la présence de membres intrus dans le groupe, et également empêcher toute tentative de l’administrateur de supprimer le statut d’un membre infiltré.

Par ailleurs, selon plusieurs experts en cyber intelligence, cette stratégie d’infiltration numérique ne peut aucunement être exploitée à long terme dans l’espionnage gouvernemental. Tôt ou tard, les utilisateurs remarqueraient inévitablement que des inconnus apparaissaient dans leurs conversations chiffrées.

Cependant, cette probabilité de détection ne peut constituer la solution définitive à cette faille sécuritaire. C'est comme si on laissait la porte d'entrée d’un domicile ouverte et dire par la suite que personne n’osera rentrer en raison de la présence d’une caméra de surveillance. Pour faire face à cette importante faille de sécurité, les chercheurs allemands estiment qu’une solution d’authentification destinée aux nouvelles invitations du groupe peut apporter plus de confidentialité dans l’algorithme de WhatsApp. Selon eux, avec une clé secrète, l'administrateur aura la possibilité de signer toute invitation de rejoindre un groupe privé, ce qui lui permettrait d'empêcher les invitations falsifiées.

Retrouvez les articles de HuffPost Algérie sur notre page Facebook.

Pour suivre les dernières actualités en direct, cliquez ici.