WhatsApp est victime d'une grave faille de sécurité. D'après les chercheurs en sécurité informatique de Checkpoint, des pirates sont en effet en mesure de se servir de l'application de messagerie pour envoyer des messages à la place des utilisateurs. Alerté il y a un an, WhatsApp n'est toujours pas parvenu à corriger la brèche. 

En août dernier, Check Point Research informait WhatsApp qu'une faille de sécurité critique peut théoriquement permettre à un attaquant d'envoyer des messages à la place de ses utilisateurs. Comme l'a précisé la firme lors de la Black Hat 2019, une conférence dédiée à la cybersécurité organisée à Las Vegas, l'application de messagerie instantanée n'a pas encore déployé de correctif.

Lire aussi : WhatsApp – une faille permet à Facebook d’espionner tous vos messages chiffrés

WhatsApp : comment des pirates peuvent envoyer des messages à votre place

Lors de son enquête, Checkpoint a découvert jusqu'à trois méthodes permettant à un pirate de tromper un utilisateur WhatsApp. Tout d'abord, la faille permet de détourner la fonctionnalité “citation” pour changer l'identité de l'expéditeur. Avec cette tactique, un attaquant peut faire dire n'importe quoi à n'importe qui dans un groupe de discussion.

Deuxièmement, un pirate est aussi capable d'intercepter les messages chiffrés transmis sur WhatsApp. Concrètement, un attaquant peut falsifier le message que vous aurez posté de votre propre chef. Si les autres participants du groupe de discussion liront une version modifiée de votre message, vous continuerez à avoir accès au message initial envoyé. Bref, nous ne vous rendrez compte de rien.

Enfin, une dernière tactique consiste à faire croire à un usager qu'il répond à conversation privée alors que ce n'est pas le cas. Le message est en fait visible dans un large groupe. Heureusement, cette dernière méthode n'est plus disponible. Facebook, maison mère de WhatsApp, explique avoir résolu le problème. Par contre, le réseau social admet ne rien pouvoir faire pour empêcher les deux premières tactiques d'être exploitées.

Ce n'est pas la première fois que des failles de sécurité mettent en péril la vie privée des utilisateurs WhatsApp. Avec un peu de patience, un attaquant est par exemple capable de déterminer avec quels contacts vous discutez. Pire, une faille des serveurs WhatsApp a laissé des pirates espionner des conversations de groupe en 2018. D'après Pavel Dourov, cofondateur de Telegram, WhatsApp n'est et ne sera jamais sécurisé. Il estime même qu’il n’y a « pas eu un seul jour en dix ans d’existence de WhatsApp où ce service a été sûr ». 

Source : Checkpoint