La vulnérabilité de WhatsApp laisse tout le monde espionner les discussions de groupe

Une vulnérabilité critique dans WhatsApp a été découverte qui permet à quiconque de rejoindre le chat et d'espionner des conversations sans l'autorisation de l'administrateur. Avec l'accent mis de plus en plus sur la confidentialité numérique, les entreprises essaient de leur mieux pour rendre leurs services sécurisés et fiables pour les utilisateurs. Il y a deux ans, l'application de messagerie mobile WhatsApp était équipée d'un cryptage de bout en bout afin de fournir à ses utilisateurs une sécurité complète contre l'espionnage gouvernemental, les escroqueries de hackers et WhatsApp lui-même. Toutefois, la protection des chats de groupe avec un cryptage de bout en bout n'est pas aussi simple que le sont les conversations régulières. Les dernières recherches d'un groupe de cryptographes de l'université allemande de la Ruhr à Bochum le prouvent. Selon l'équipe de chercheurs, le cryptage de chat de groupe dans WhatsApp et d'autres applications de messagerie, y compris Signal et Threema, est défectueux, ce qui rend l'infiltration des chats beaucoup plus facile pour les cybercriminels sans demander la permission de l'administrateur du groupe. Les conclusions de leurs recherches ont été dévoilées lors de la conférence Real World Crypto Security (RWC) qui s'est tenue mercredi à Zurich, en Suisse. Les chercheurs ont révélé qu'ils ont identifié une série de failles dans le processus de cryptage pour les discussions de groupe dans les applications susmentionnées et les défauts sapent grandement les revendications de sécurité de chacune des communications de groupe multi-personnes de cette application à divers degrés. Plus: Snowden explique pourquoi Telegram Messenger App est dangereux Les failles ont été identifiées dans les protocoles de sécurité de toutes les applications mais le cas de WhatsApp est particulièrement choquant étant donné qu'il y a plus d'un milliard d'utilisateurs associés à l'application. De plus, la nature des failles dans Threema et Signal n'est pas aussi sérieuse que celle de WhatsApp puisque n'importe qui peut prendre le contrôle des serveurs de WhatsApp pour compromettre des groupes privés et effectuer une variété d'exploits tels que l'insertion de nouvelles personnes dans le groupe. Puisque l'autorisation de l'administrateur de groupe n'est pas requise, il est donc possible que les criminels utilisent ces failles. Paul Rösler, le co-auteur du document [PDF] et membre de l'équipe de recherche, a écrit que: "La confidentialité du groupe est rompue dès que le membre non invité peut obtenir tous les nouveaux messages et les lire. Si j'entends qu'il existe un cryptage de bout en bout pour les deux groupes et les communications à deux parties, cela signifie que l'ajout de nouveaux membres devrait être protégé contre. Et sinon, la valeur du cryptage est très faible. "

Incidemment, WhatsApp utilise le protocole Signal pour activer le cryptage de bout en bout et la faille est présente dans le système d'authentification de l'application. Les chercheurs ont noté dans leur document que WhatsApp n'utilise aucune méthode d'authentification lorsque l'administrateur du groupe ajoute un nouveau membre au groupe. Cela rend ses serveurs vulnérables à l'usurpation d'identité, car si une personne obtient le contrôle des serveurs de l'application, n'importe qui peut être ajouté au groupe. Bien que le nouveau membre ne sera pas capable de lire les conversations précédentes entre les membres du groupe, mais après avoir ajouté, il / elle sera en mesure d'accéder à tous les messages. Il existe d'autres risques saillants tels qu'un attaquant peut manipuler et supprimer les messages. Comme Rösler l'a souligné: "Il peut mettre en cache tout le message et décider ensuite qui est envoyé à qui et qui ne l'est pas." Les failles ont été confirmées par WhatsApp et la société a déclaré que chaque fois qu'un nouveau membre inconnu est ajouté au groupe, une alerte de notification est envoyée par l'application à l'administrateur du groupe. Tout en parlant avec Wired, le porte-parole de WhatsApp a déclaré: "Nous avons examiné attentivement ce problème ... Les membres existants sont notifiés lorsque de nouvelles personnes sont ajoutées à un groupe WhatsApp. Nous avons construit WhatsApp afin que les messages de groupe ne puissent pas être envoyés à un utilisateur caché. " Pour éviter que les chats de groupe ne soient envahis par des individus non invités, il est important que les protocoles de sécurité pour les caractères de groupe soient modifiés et que les failles signalées par les chercheurs soient corrigées. Les chercheurs ont noté que dans cette recherche, ils se concentraient uniquement sur trois applications, leur modèle peut également être appliqué à d'autres applications pour protéger les protocoles de messagerie instantanée de groupe sur un spectre plus large.