La messagerie instantanée brandit le chiffrement des messages comme un argument marketing, mais les recherches d’universitaires mettent à mal ce discours. Dans les conversations de groupe, il est possible d’ajouter un nouveau participant alors en capacité d’espionner la conversation. Mais encore faut-il pour cela contrôler les serveurs de WhatsApp.
Une équipe de chercheurs de l’Université de Bochum (Allemagne) a découvert un défaut de conception dans plusieurs messageries revendiquant un chiffrement de bout-en-bout. Il s’agit de, Signal, Threema et WhatsApp. Et c’est le cas de cette dernière qui est le plus parlant. L’entreprise rachetée par Facebook a fait du chiffrement son principale argument sécurité, soutenant que les messages sont chiffrés côté expéditeur, déchiffrés chez le destinataire et que eux seuls détiennent les clés de chiffrement.
C’est vrai pour les échanges entre deux utilisateurs mais pour les conversations de groupe, cette assertion se révèle faussée. Les chercheurs démontrent qu’un attaquant parvenant à prendre le contrôle des serveurs de WhatsApp peut s’ajouter aux groupes, récupérer les clés et lire les messages. WhatsApp reconnaît le défaut mais signale que l’entrée de tout nouveau participant à une conversation est notifiée au reste des membres du groupe. Il est toutefois possible, en contrôlant ces serveurs, de retarder l’envoi de ces notifications.
Si ça passe par les serveurs, oubliez le chiffrement de bout en bout
La méthode de chiffrement n’est pas en cause : c’est plutôt son implémentation et les promesses de WhatsApp qui sont ici questionnées. Evidemment, un attaquant devrait pour parvenir à tourner à son avantage ce défaut réussir une attaque sur les serveurs de WhatsApp, ce qui n’est pas à la portée du premier hacker venu. Mais cette découverte signifie également que WhatsApp peut avoir accès à ces discussions de groupe.
WhatsApp en convient, ce défaut existe bel et bien. Pour autant, il ne le corrigera pas. La méthode proposée par les chercheurs reviendrait en effet, selon le service de messagerie, à priver les utilisateurs d’une fonctionnalité très appréciée, à savoir les liens d’invitation.