L'application mobile aux 1,5 milliard d'utilisateurs est touche par une faille qui permettrait de modifier et de lire des messages envoys dans une conversation prive ou groupe.

Ce sont les spcialistes de la cyberscurit isralienne Dikla Barda, Roman Zaikin et Oded Vanunu, de Check Point Research (CPR), qui ont dcel une norme faille rvle mercredi et qui pourrait avoir de multiples consquences diffrentes chelles.
Au dbut de l'anne, WhatsApp recensait un total de 65 milliards de messages changs chaque jour, et un peu plus d'un milliard de groupes.
L'quipe de CPR a identifi trois mthodes d'attaque possibles, qui font tat d'une relle vulnrabilit de l'application de plus en plus populaire rachete par Facebook en fvrier 2014.

Des failles qui rendent leurs victimes totalement impuissantes



  • La premire faille consiste changer l'identit d'un expditeur dans une conversation de groupe, mme si celle-ci n'est pas un membre de ce dernier.
  • La seconde permet cette-fois de modifier non pas l'identit mais la rponse mme de son correspondant.
  • Enfin, la troisime consiste envoyer un message priv dans un groupe de discussion o ici, lorsque le destinataire rpond, tout le monde voit ce qu'il a crit.


Un risque accru de sorties de Fake News


Sur un plan technique, WhatsApp a mis en place un systme de cryptage de chaque message, appel, vido ou image envoy.
Les chercheurs de Check Point Research ont invers l'algorithme de l'application pour dcrypter les donnes, en jouant du protocole mis en place par Google.

Ces failles, nous le disions, peuvent donc avoir de lourdes consquences. Les fake news pourraient ainsi pulluler, notamment en priode lectorale.
Entre personnes de confiance, on ne prend pas ncessairement le temps de vrifier une information dans ce genre d'changes, et les drives peuvent trs vite arriver.
Ce dfi est pris trs au srieux par WhatsApp, qui bannit les utilisateurs qui tentent de modifier l'application pour en contourner les limites.

Les spcialistes ont videmment pris soin de prvenir les quipes techniques de WhatsApp, qui a tenu ragir dans un communiqu en affirmant avoir examin attentivement ce problme qui s'apparente tenter de modifier un message aprs son envoi .
WhatsApp assure qu'il n'y a pas de problme de scurit du cryptage de l'application, qui permet de s'assurer que seul l'envoyeur et le destinataire peuvent lire leur change .
En lisant entre les lignes, on comprend bien qu'on a d s'affrer plutt deux fois qu'une pour bloquer cette faille et dvelopper sans doute rapidement un nouvel algorithme, indchiffrable cette fois. Du moins on l'espre...

CLUBIC source.