WhatsApp demeure ce qui se fait de mieux en matière de confidentialité dans les messageries grand public ANDY WONG / AP

Des chercheurs ont découvert un défaut de conception dans les discussions de groupe de plusieurs messageries sécurisées, dont WhatsApp, a révélé mercredi 10 janvier le site spécialisé Wired. Dans le cas de cette dernière, il est possible pour un pirate qui prendrait le contrôle des serveurs de WhatsApp d’insérer un participant sans le consentement de l’administrateur du groupe de discussion.

Cela pose problème car une des promesses de WhatsApp en termes de sécurité est d’appliquer le chiffrement de bout en bout. Cela signifie que le chiffrement – l’action de rendre les messages illisibles sauf pour ceux à qui ils sont destinés – est réalisé entre les téléphones, et que les serveurs qui acheminent le message ne peuvent pas le lire.

Sauf qu’en insérant un nouveau participant à la discussion, les clés de chiffrement lui sont automatiquement transmises et il est possible pour lui de lire les messages envoyés consécutivement à son ajout. Autrement dit, quiconque dispose d’un accès au serveur de WhatsApp peut s’insérer dans un groupe de discussion. Cela peut être WhatsApp même, par exemple sur ordre d’une autorité, ou des hackeurs ayant réussi à le pirater. Une entorse à la promesse d’un chiffrement étanche empêchant celui qui possède ou contrôle les serveurs de WhatsApp de lire les messages. « Si vous construisez un système où tout dépend du serveur, vous pouvez à la limite vous dispenser de toute complexité et oublier le chiffrement de bout à bout », a sévèrement critiqué – toujours dans Wired – Matthew Green, professeur de cryptographie à l’université américaine Johns-Hopkins et référence en la matière.

Un défaut très difficile à exploiter

Il ne s’agit pas d’une vulnérabilité dans le mécanisme de chiffrement de WhatsApp, qui demeure ce qui se fait de mieux en matière de confidentialité dans les messageries grand public. D’autant plus que l’ajout non désiré d’un participant fait l’objet d’une notification aux utilisateurs, les alertant donc de la présence d’un nouveau participant à leurs échanges. Même si, selon les chercheurs, il est possible, une fois sur le serveur, de retarder l’envoi de ces messages, ce type d’attaque est très peu discrète et nécessite, en outre, soit d’obtenir la collaboration de WhatsApp, soit d’en pirater les serveurs : autant dire qu’il faut de très gros moyens et que cela ne concerne qu’un tout petit nombre d’utilisateurs.

D’autres messageries sécurisées, notamment Signal et Threema, sont concernées par la trouvaille des chercheurs, mais son exploitation est encore plus complexe que pour Whatsapp.

L’entreprise, contactée par les chercheurs, puis par Wired, ne compte pas remédier à ce défaut de conception. Selon un porte-parole joint par le site spécialisé, cela conduirait à revenir sur une fonctionnalité prisée des utilisateurs de la messagerie, celle de rejoindre un groupe par un lien Internet. Le porte-parole justifie également la position de WhatsApp par la visibilité d’une telle attaque – l’ajout d’une personne à une discussion groupée est toujours signalée à ses participants. « WhatsApp s’est penchée attentivement sur l’étude. (…) En clair, les notifications envoyées lorsqu’un nouveau participant rejoint un groupe et les nombreuses façons de vérifier qui s’y trouve rendent impossible l’espionnage invisible des conversations », a expliqué sur Twitter Alex Stamos, le responsable de la sécurité de Facebook, dont fait partie WhatsApp.

Moxie Marlinspike, le développeur à l’origine du code utilisé par WhatsApp pour chiffrer les messages, a rappelé sur le forum YCombinator que l’application de messagerie restait largement en pointe en matière de protection des conversations. Selon lui, l’existence de robustes mécanismes de chiffrement dans WhatsApp amène les chercheurs à en explorer les moindres recoins et donc à y découvrir des défauts, si petits soient-ils. Il a fait le parallèle avec d’autres solutions, comme Telegram, où le chiffrement de bout en bout est totalement absent des conversations de groupe, contrairement à une idée largement répandue :

« La leçon est claire : n’ajoutez pas de sécurité dans vos produits. Cela fait de vous une cible pour les chercheurs (…) Il est plus efficace d’être Telegram : n’utilisez pas de cryptographie, sauf dans votre marketing. »