WhatsApp : le chiffrement bout à bout n’empêche pas d’en pirater les conversations

Alors que WhatsApp se félicitait d'avoir activé le chiffrement bout à bout de ses conversations pour l'intégralité de ses conversations, un expert en sécurité prouve qu'il n'empêche pas une personne malintentionnée de pirater les conversations de ses utilisateurs.

Whatsapp

La sécurité sur internet est au coeur de toutes les conversations, et c'est bien naturel : désormais que les usages numériques ont une place centrale dans notre quotidien, les informations personnelles que contiennent nos appareils se font de plus en plus nombreuses.

A commencer bien sûr par les conversations que nous entretenons avec nos proches, et qui sont loin d'être destinées à être vues par le public. Qu'adviendrait-il de nous alors que ces mots acerbes échangés dans le confort de notre espace privé sur la calvitie du patron lui revenaient aux oreilles ?

Ceci n'est qu'un exemple proche de vous pour vous faire comprendre l'importance d'un geste comme celui de WhatsApp, qui a activé le chiffrement bout à bout pour ses milliards d'utilisateurs en ce début d'année des suites de l'affaire opposant Apple au FBI.

Mais celui-ci est-il vraiment efficace ? Les chercheurs en sécurité de Positive Technology démontrent que non, pas nécessairement. Et ce à cause d'une des fonctionnalités de base de WhatsApp, qui est de lier le compte utilisateur à son numéro de téléphone.

En effet, les technologies de nos antennes réseau n'étant pas les mieux sécurisées, un pirate peut utiliser une faille du protocole SS7 (qui établit et gère les communications cellulaires) afin de prendre l'identité d'un utilisateur donné sur le réseau, recevant pour lui le code de vérification de l'application et gagnant ainsi le contrôle total d'un compte.

Ce n'est toutefois pas une méthode facilement accessible puisqu'en théorie seuls les opérateurs et leurs partenaires ont accès au SS7. Mais cela démontre qu'il ne faudrait pas utiliser ces réseaux à la technologie vieillissante comme base de sécurité, une solution comme le Google Authenticator étant bien plus recommandée.


Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !