IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Sécurité : une faille dans WhatsApp permet d’espionner les conversations de groupe


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    2 098
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 2 098
    Points : 56 618
    Points
    56 618
    Par défaut Sécurité : une faille dans WhatsApp permet d’espionner les conversations de groupe
    Sécurité : une faille dans WhatsApp permet d’espionner les conversations de groupe
    D’autres applications de messagerie sont affectées

    Des chercheurs en sécurité ont publié les détails d’une faille de sécurité au sein de l’application de messagerie WhatsApp. Son exploitation permet d’espionner les conversations de groupe sur la plateforme. Elle requiert néanmoins que l’attaquant ait accès aux serveurs de la société derrière l’application pour arriver à ses fins.

    Il s’agit de développements intéressants pour les gouvernements qui peinent face au chiffrement de bout en bout implémenté sur cette plateforme. Les États-Unis ont fait état de la difficulté d’avancer dans des enquêtes en 2014 à cause de la sécurité dont la plateforme s’est dotée grâce à un partenariat avec Open Whisper Systems. Plus récemment en 2017, l’Angleterre a, pour les mêmes raisons, demandé l’installation d’une porte dérobée sur ce qu’elle considère comme un « trou noir ». Aussi, toute vulnérabilité qui pourrait servir de base à une collaboration entre l’entreprise et les gouvernements est la bienvenue pour ces derniers.

    D’après ce que rapporte le magazine Wired, la vulnérabilité dévoilée lors de la Real World Crypto security conference affecte également les applications de messagerie Signal et Threema, mais à un degré moindre. Elle consiste en la possibilité dont dispose un attaquant, limité par la condition énumérée d’entrée de jeu, d’insérer de nouveaux participants à un groupe de discussion privé sans la permission de l’administrateur. En cause ici, le manque de sécurisation du mécanisme de génération d’une invitation. « Un groupe WhatsApp peut inviter de nouveaux membres, mais la plateforme n’utilise aucun mécanisme d’authentification que ses propres serveurs ne soient à même d’espionner », rapporte Wired.

    La conséquence est que celui qui contrôle le serveur peut ajouter de nouveaux membres sans interaction de l’administrateur, ce, avec la possibilité de rendre la manœuvre furtive en retardant les notifications destinées aux autres membres du groupe. Les nouveaux venus reçoivent les clés secrètes des autres participants, ce qui leur ouvre une voie royale vers les contenus diffusés dans le groupe après leur ajout. Wired ajoute que les messages antérieurs à la présence des intrus ne leur sont pas accessibles. Par contre, fonctionnalité qui pourrait s’avérer intéressante pour exercer la censure : le nouvel arrivant peut effectuer un blocage sélectif des messages dans le groupe.

    Nom : recover-whatsapp-images-photos.jpg
Affichages : 4938
Taille : 48,1 Ko

    Un porte-parole de WhatsApp s’est exprimé sur la question. La propriété de Facebook estime, par sa voix, que les révélations du groupe de chercheurs de l’université de Ruhr en Allemagne sont essentiellement théoriques. Pour les responsables de la plateforme, les participants à un groupe de discussion reçoivent malgré tout les notifications d’ajout de nouveaux membres. « Sous WhatsApp, les messages de groupe ne peuvent être transmis à un utilisateur masqué », a insisté l’entreprise.

    Le groupe de chercheurs, qui a révélé la faille à l’entreprise en juillet dernier, suggère de résoudre la vulnérabilité en procédant à l’ajout d’invitations dotées d’un mécanisme d’authentification dont l’administrateur seul possède la clé. La manœuvre conduirait WhatsApp à supprimer le « lien d’ajout au groupe », ce à quoi l’entreprise semble être réfractaire pour le moment.

    Pour s’extirper des craintes de collusion avec une quelconque agence gouvernementale, les responsables de WhatsApp ont ajouté que « du point de vue de la furtivité, la technique ne constitue pas un bon parti pour les gouvernements. Sur le long terme en effet, les utilisateurs se rendront compte de l’apparition d’intrus dans leurs groupes de conversation. »

    Source

    Wired

    Votre opinion

    Quel est votre avis en ce qui concerne le positionnement de WhatsApp ?

    Voir aussi

    WhatsApp : une faille dans l'implémentation du protocole Signal permet d'espionner des messages, d'après un chercheur

  2. #2
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Décembre 2011
    Messages
    270
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Décembre 2011
    Messages : 270
    Points : 560
    Points
    560
    Par défaut
    Ca me fait toujours rigoler ce genre de "faille" qui requiert l'accès au backend derrière ... ah bon ? si on a accès au serveur on peut faire des choses ?!

  3. #3
    Membre confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Janvier 2011
    Messages
    204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Janvier 2011
    Messages : 204
    Points : 511
    Points
    511
    Par défaut
    Quelle faille : on peut ajouter des participants à un groupe qui pourra voir les nouveaux messages postés

    Participant qui sera visible de tous sur le groupe, donc niveau discrétion...

  4. #4
    Membre confirmé Avatar de athlon64
    Profil pro
    Inscrit en
    Février 2009
    Messages
    243
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2009
    Messages : 243
    Points : 547
    Points
    547
    Par défaut
    En fiscalité, une faille est un mécanisme créé ou laissé actif volontairement, permettant à des acteurs privés de frauder l'impôt légalement au dépend des États et des Peuples.
    Ah zut me suis trompé là on est en informatique c'est ça ... ?

    Difficile de faire la part des choses avec ces groupes américains

  5. #5
    MikeRowSoft
    Invité(e)
    Par défaut
    Oui, la touche américaine à bien été observé.

    Pré requis de l'installation, "fouiller et envoyer les numéros de téléphones des contacts aux serveurs pour vérifier si oui ou non les contacts ont déjà souscrit".

Discussions similaires

  1. Réponses: 1
    Dernier message: 20/11/2017, 11h58
  2. Réponses: 0
    Dernier message: 16/01/2017, 07h34
  3. Réponses: 31
    Dernier message: 12/05/2016, 11h12
  4. Réponses: 4
    Dernier message: 18/03/2014, 13h14
  5. Une faille dans QuickTime permet une attaque par drive-by sur IE
    Par Katleen Erna dans le forum Actualités
    Réponses: 1
    Dernier message: 31/08/2010, 19h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo