Pourquoi WhatsApp ne sera jamais sécurisé

Le monde semble choqué par le fait que WhatsApp a transformé tout téléphone en logiciel espion. Tout sur votre téléphone, y compris les photos, les courriels et les textes, était accessible aux attaquants simplement parce que vous aviez WhatsApp installé. Explication de Pavel Durov, fondateur de la messagerie Telegram.

L’année dernière, WhatsApp a dû reconnaître que son problème était très similaire: un simple appel vidéo était tout ce dont un pirate avait besoin pour accéder à l’intégralité des données de votre téléphone [1] .

Chaque fois que WhatsApp doit corriger une vulnérabilité critique dans son application, une nouvelle semble apparaître à sa place. Tous leurs problèmes de sécurité conviennent parfaitement à la surveillance, et ressemblent beaucoup à des portes dérobées (backdoor).

Un chercheur en sécurité ne peut pas vérifier le code source de Whatsapp. Contrôler s’il y a des portes dérobées dans son code. WhatsApp ne publie pas son code source. Ils font exactement le contraire: WhatsApp masque délibérément les fichiers binaires pour s’assurer que personne ne soit en mesure de les étudier.

WhatsApp et sa société mère Facebook peuvent même être amenés à implémenter des backdoors – via des processus secrets tels que ceux réclamés par le FBI [3]. Il n’est pas facile de lancer une application de communication aux États-Unis. Une semaine aux États-Unis, en 2016, a valu 3 tentatives d’infiltration du matériel d’employés de Telegram par le FBI [4] [5] .

Imaginez ce que 10 années dans cet environnement peuvent entraîner pour une société aux États-Unis.

Backdoor

Je comprends que les agences de sécurité justifient d’installer des portes dérobées pour combattre le terrorisme, les pédophiles, les professionnels de la déstabilisation. Le problème ? Criminels et gouvernements autoritaires peuvent s’y pencher aussi. Il n’est pas étonnant que les dictateurs semblent aimer WhatsApp.

Son manque de sécurité leur permet d’espionner leur propre peuple. Voilà pourquoi WhatsApp continue d’être librement disponible dans des pays comme la Russie ou l’Iran. Pour rappel,  Telegram y est interdit par les autorités [6]. Au Sri Lanka, après les attentats du 21 avril, les réseaux sociaux mis hors-services [6b].

Telegram en réponse directe à la pression personnelle exercée par les autorités russes. À cette époque, en 2012, WhatsApp transférait encore des messages en texte brut. Non seulement les gouvernements ou les pirates, mais aussi les opérateurs de téléphonie mobile et les administrateurs wifi avaient accès à tous les textes WhatsApp [7] [8] .

Plus tard, WhatsApp a ajouté un chiffrement, qui s’est rapidement révélé être un stratagème marketing: la clé pour déchiffrer les messages était disponible pour au moins plusieurs gouvernements… y compris la Russie [9].

Chiffrement

Il y a 3 ans, WhatsApp a annoncé la mise en œuvre d’un chiffrement de bout en bout.

Cela coïncide avec une demande insistante pour sauvegarder les discussions dans le « cloud ». Lors de cette opération, WhatsApp n’explique pas à ses utilisateurs que, lors de la sauvegarde, les messages n’ont plu de chiffrement de bout en bout. Ils deviennent accessibles aux pirates et aux espions.

Les personnes suffisamment résilientes pour ne pas craquer face aux fenêtres permanentes leur demandant de sauvegarder leurs discussions dans « Le Nuage » peuvent toujours être identifiées via un certain nombre d’astuces : l’accès aux sauvegardes de leurs contacts aux modifications de clé de chiffrement invisibles [9b] .

Les métadonnées générées par les utilisateurs de WhatsApp.

Les journaux décrivant les identités des personnes en discussions [10] . En plus de cela, vous avez un mélange de vulnérabilités critiques qui se succèdent.

L’année dernière, les fondateurs de WhatsApp ont quitté la société en raison d’inquiétudes concernant la confidentialité des utilisateurs [15].

Définitivement liés par un silence contractuel. Ils ne peuvent pas discuter en coulisses sans risquer de perdre leur fortune et leur liberté. Ils ont admis, cependant, qu' »ils avaient vendu la vie privée de leurs utilisateurs » [16] . (Merci à Yousse)

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.