WhatsApp : backdoor ou pétard mouillé ?

Vendredi après-midi, à l’heure où blanchissent les timelines, le Guardian publiait tranquillou un article pas alarmiste pour deux sous : « une backdoor de WhatsApp permet d’espionner les messages chiffrés ». Comme de bien entendu,
Abonnez-vous ou connectez-vous pour lire le reste de cet article
Twitter Facebook Google Plus email

10 thoughts on “WhatsApp : backdoor ou pétard mouillé ?”

  1. « Enfin, l’attaquant doit activer un terminal avec le numéro de mobile d’Alice. »

    Est ce que ce serait la pas plutôt un terminal avec le numéro de mobile de Bob qu’il faut à l’attaquant pour créer un compte ?

  2. Vous minimisez l’importance de cette révélation, mais surtout vous affirmez ceci :

    > À titre personnel, votre serviteur n’a pas d’amitié particulière pour Facebook, mais il faut reconnaître que WhatsApp est aujourd’hui l’une des applications de messagerie les mieux sécurisées.

    Alors qu’un logiciel dont les sources ne sont pas libres ne peu pas être considéré comme sécurisé. Tout simplement parce qu’on ne peut pas vérifier ce que le logiciel fait, on ne peut notamment pas vérifié s’il y a des backdoor.

    Surtout dans le cas de la cryptographie asymétrique et la gestion des clefs, surtout quand l’entreprise et ses serveurs sont aux États-Unis. Surtout quand cette entreprise est Facebook.

    Bref dire que ce logiciel est sécurisé ne repose sur rien et est extrêmement dangereux.

    Des logiciels libres comme http://conversations.im sont à privilégié avec des hébergement mieux maîtrisés que ce soit en auto-hébergeant http://yunohost.org ou en hébergeant dans des pays avec des lois respectant la vie privée (ici l’Allemagne) :

    https://account.conversations.im/domain

    https://support-en.mailbox.org/knowledge-base/article/using-jabber-service-with-own-domain

  3. Le problème exposé par The gardian semble quand même plus ciblé sur le fait que si WhatsApp reçoit une demande d’interception de la part du gouvernement il sera capable de l’exécuter du fait de la possibilité de re-chiffrement. Malgré le fait que cela ne semble que concerner les messages non délivrés, il semble très facile, dans ces circonstances, pour WhatsApp d’instrumenter cela pour accéder à tous les messages.
    Enfin de façon globale de toute façon l’appli n’étant pas open source, il semble assez facile pour WhatsApp d’instrumenter, ou plutôt pour l’utilisateur de réussir à faire confiance en ce genre d’application…

    1. Dan’s Le cas de changement de clé de Bon, le rechiffrement est fait par le terminal d’Alice, pas par le serveur qui n’a que les clés publiques. Comment le gouvernement pourrait exploiter cela a des fins d’instrumentation ?

      1. Il suffit à WhatsApp d’ajouter un nouvel appareil virtuel au compte de Bob, cet appareil recevra ainsi les messages qui lui sont destinés.
        De manière générale c’est le problèmes des systèmes où le lien entre personne physique et clef de chiffrement est établi et contrôlé par un acteur tiers, comme WhatsApp, ou en utilisant des mécanismes peu fiables, comme le contrôle du numéro de téléphone.
        C’est également un problème par ex. chez Apple (iMessage) : Apple gère la liste des appareils liés à un compte et est donc en mesure d’ajouter un appareil « fantôme » au compte qui recevrai alors tous les messages qui lui sont destinés, et peut se faire passer pour ce compte.

        1. Oui, j’ai bien compris (je crois) la faille du système. Mais en procédant ainsi par usurpation d’identité, il est possible de récupérer seulement les derniers messages, et surtout cela me paraît difficile à exploiter massivement.

          PS: désolé pour les fautes de frappes du message précédent.

    1. Ce qui est marqué dans l’article, c’est que le chiffrement se fait sur le terminal, donc WhatsApp ne vois pas le contenu du message. (Par contre, certains journaux ont affirmé l’inverse, donc, comme d’habitude, c’est une question de confiance dans ton média, de possibilité de contrôler l’info, et la compréhension/compétences de celui/ceux qui ont écrit/ »corrigé »/validé l’article. On peut aussi rajouter la pression financière, des actionnaires ou de copinage, de lobbyistes… Amuse toi bien!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *