Download_on_the_App_Store_Badge_FR_RGB_blk_100517

Certains messages cryptés envoyés via WhatsApp peuvent apparemment être interceptés

L'appli de messagerie WhatsApp a toujours garanti à ses utilisateurs que leurs messages cryptés ne pouvaient jamais être interceptés.

Un chercheur de l'université de Californie à Berkeley, Tobias Boelter, affirme avoir découvert le contraire.

Il existe une fonctionnalité dans WhatsApp qui permet à Facebook, ou d'autres organisations, d'intercepter certains messages cryptés envoyés via l'appli de messagerie.

Ce système a aussi été vérifié par un autre spécialiste de cryptographie Steffen Tor Jensen, ainsi que le quotidien britannique Guardian, qui révèle ces informations ce vendredi 13 janvier.

Comment certains messages peuvent-ils être interceptés ?

Capture d'écran des paramètres de sécurité de WhatsApp en français

Pour comprendre le fonctionnement de ce que le Gardian appelle une porte dérobée ("backdoor"), il faut savoir que WhatsApp utilise le protocole d'encodage "Signal", qui donne une clé d'encodage à chaque utilisateur.

Mais WhatsApp a la possibilité de créer de nouvelles clés d'encodage lorsque les utilisateurs sont hors-ligne. Lorsque l'utilisateur se re-connecte et envoie de nouveaux messages, il utilisera sans le savoir une nouvelle clé, qui peut permettre l'interception de messages.

Le destinataire n'est pas au courant de ce changement. L'émetteur peut l'être s'il a choisi de cocher la case (par défaut décochée) "afficher les notifications de sécurité" dans l'application, mais il le sera uniquement après que le message a déjà été envoyé.

"Une mine d'or pour les agences de renseignements"

D'après le Guardian, Tobias Boelter a rapporté ce problème à Facebook en avril 2016 mais la firme a répond qu'elle était "déjà au courant" et que c'était un "comportement attendu".

"Si une agence gouvernementale demande à WhatsApp de transmettre des messages, l'appli peut lui autoriser l'accès grâce à ce changement de clés", a expliqué Tobias Boelter.

Kirstie Ball, co-directrice du "Centre pour la recherche sur les données, la surveillance et la vie privée" de l'Open University Business School, considère que ce changement de clés peut être une "mine d'or pour les agences de renseignements".

Sur Twitter après parution de l'article du Guardian, un ancien développeur du protocol Signal a défendu WhatsApp, expliquant que l'appli avait toujours précisé que l'utilisateur pouvait vérifier une clé d'encodage, et qu'il s'expose à des interceptions s'il ne le fait pas.

https://twitter.com/FredericJacobs/status/819866979020443648

Découvrir plus d'articles sur :