Alerte à la porte dérobée dans WhatsApp
Il y a une porte dérobée dans WhatsApp, qui permet à une tierce partie (comme un organisme de surveillance à trois lettres, par exemple) d’intercepter et de lire des messages sans le consentement des utilisateurs. La découverte, révélée par le Guardian, est liée à l’implantation du protocole Signal qui gère le chiffrement des données dans l’application de messagerie instantanée.
Signal n’est pas en cause ici, mais plutôt son intégration par Facebook dans WhatsApp. Un message envoyé à un correspondant hors ligne qui change de smartphone ou réinstalle l’application, sera chiffré avec de nouvelles clés. Il sera ensuite envoyé au correspondant, sans alerter par défaut les utilisateurs du changement opéré au niveau des clés de chiffrement. Ce processus permet à WhatsApp de jeter un œil indiscret sur le ou les messages. En cas de mandat de justice, WhatsApp pourrait être amené à fournir ces informations.
Le protocole Signal (qui est également une application recommandée par Edward Snowden), développé par Open Whisper Systems, ne présente pas cette backdoor. En cas de problème de connexion, si la clé de chiffrement du destinataire est modifiée hors ligne, le message ne sera pas livré et l’expéditeur en sera prévenu.
Un porte-parole de WhatsApp a expliqué en substance que ce n’était pas un bug, mais… une fonction. Il s’agit d’assurer la continuité d’une conversation en cas de changement de téléphone ou de réinstallation de WhatsApp. « Dans beaucoup de pays, les gens changent fréquemment d’appareils et de cartes SIM. Dans ces situations, nous voulons nous assurer que les messages sont bien livrés », précise le porte-parole.
Dans les réglages de WhatsApp, on trouvera une option Afficher les notifications de sécurité (Compte > Sécurité). Celle-ci active des messages d’alerte en cas de modification du code de sécurité d’un contact.
Mais si activer cette option informe effectivement l’utilisateur d’une modification dans la sécurité de la discussion, elle ne ferme pas la porte dérobée. Le Guardian conseille de ne plus utiliser WhatsApp si on se sert de l’app dans le cadre d’activités sensibles (enquête journalistique, discussion diplomatique…). Ou si tout simplement on tient à la confidentialité de ses échanges.
J'ai lu l'article mais j'ai pas compris. Quelqu'un peut faire un résumer ? ??
@Rodri31
Si on envoie un message à quelqu'un et que cette personne change de téléphone avant de le recevoir, WhatsApp va envoyer à nouveau le message pour qu'il soit lisible par le nouveau téléphone. Mais du coup, WhatsApp pourrait se servir de ce comportement pour recevoir tes messages (en disant à ton téléphone « Salut, je suis le nouveau téléphone de Rodri, est-ce que tu pourrais me rechiffrer le message de manière à ce que je puisse le lire ? »)
@Nicolapps
Ok merci ;)
@Rodri31
Si c'est Facebook qui gère, pas question que les messages soient réellement confidentiels
"Mais non c'est crypté de bout en bout seuls l'expéditeur et le destinataire peuvent lire"
Bon ok WhatsApp Viber etc mais iMessage non car c'est Apple!
(Snowden se marre)
@R1x_Fr1x
Sauf que Apple ne vit pas sur le contenu des messages
Ce n'est meme pas la question.
Le principe c'est le Patriot Act qui le definit: aucune personne morale ou physique ne peut fournir un systeme de chiffrement qui n'offre un acces aux services de renseignement. Sinon la personne est suspectée potentielement d'aide a des entreprises terroristes. Et comme la definition ne depend que de la qualification par un agent d'etat..
De meme les systemes ne permettant pas une tracabilite totale des transaction (conversationnelles, monetaires, marchande,...) sont interdites selon les memes principes. C'est pourquoi aujourd'hui il y a un enfermement progressif vers le paiment electronique et la suppression du paiment en especes.
Quand a Facebook c'est le plus puissant graphe social permettant de cartographier les reseau relationnel et le comportement d'un individu ou d'un groupe d'individu. et comme c'est un systeme proprietaire, personne d'exterieur ne peut savoir jusqu'a quel niveau de fichage cela va. en tout cas on peut se douter que le niveau depasse largement tout ce qui est legalement permis.
Reste donc a utiliser les outils classiques de l'Internet: Mail, IRC, WEB, ... en lieu et place des saletes comme Facebook, et utiliser des outils de consultations comme TOR, Signale, GPG,... Mais surtout de fair bon usage de sa carte d'electeur et de demander des garanties a ceux a qui l'on veut confier des responsabilites democratiques.
Rahhhh les salauds.... quand y en a plus et bah y en a encore
On ne dit pas crypté mais chiffré
@iG
Oui c vrai au temps pour moi
@iG
On ne dit plus « chiffré », on dit « accessible aux organismes de surveillance à trois lettres ».
Helas y a pas que ceux a 3 lettres qui posent problemes... les USA disposent de plus de 20 agences de surveillance auquelles ils faut rajouter celles des anglais, des francais, des allemand, des italiens, des israeliens, des canadiens,... En tout le nombre d'agents qui controlent et fiche la population mondiale est astronomique, et plus astronomique la puissance technologique dont dispose cette mega Stasi. Le pire c'est que si les interets servis sont d'abord ceux commerciaux americains, les executants locaux, eux sont des elus nationnaux qui oeuvrent a contre interet des peuples qu'ils sont censes servir. Bernard, si tu nous lis...
en gros en cas de changement de tél, le message n'est plus correctement chiffré.. de ce que je comprends si les personnes ne changent pas ou ne réinstallent pas l'appli ça devrait pas trop craindre ?
Le message ne devrait pouvoir être déchiffré seulement par le destinataire ou l'envoyeur.
La ou ce n'est pas clair, c'est si le message est réenvoyé une fois une nouvelle clé créé, ou est-ce que WhatsApp peut lui même le déchiffrer pour le chiffrer avec la nouvelle clé.
Si c'est la deuxième option, ce n'est carrément plus du chiffrement de bout en bout.
L'article du Guardian amène de nombreuses confusions et mal compris par MacG: Il n'y a pas de backdoor dans WhatsApp. Le problème qui n'est pas nouveau, se pose sur un risque d'authenticité du contact (l’information est attribuée à son auteur légitime.)
C'est un risque classique en sécurité informatique d'interception de type MITM dit attaque de l'homme du milieu. (https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu )
L'alerte en cas de changement de clés de sécurité reste optionnelle dans les réglages. Ce qui pose un risque en cas de substitution d'un contact.
Perso je n'arrive pas à faire confiance à ces Viber, WhatsApp et compagnie et je refuse de les installer.
Même si je ne suis plus utilisateur de iMessage, c'est celui qui m'inspirait le plus confiance. J'ai Signal mais ne me suis pas encore bien renseigné. Un connaisseur pourrait nous éclairer ?
@ romain90
En fait, Signal (l'app) et WhatsApp utilisent tous deux le moteur de chiffrement "Signal" de Open Whisper systems (qui est également l'éditeur de Signal, l'app), qui utilise des protocoles de niveau militaire et qui est donc très long a déchiffrer. En revanche, Signal (toujours l'app), ne souffre pas de la porte dérobée qu'on vient de découvrir chez WhatsApp et tu peux donc l'utiliser sans crainte. Signal (l'app) est d'ailleurs généralement considérée comme la meilleure option pour garder des conversations privées... privées, justement.
La ou c'est particulièrement énervant, c'est que Trouduculbook a été averti début 2016 de la présence de la porte dérobée en question et qu'ils n'ont sciemment rien fait pour la fermer.
Quant à Telegram, l'app a été compromise tellement de fois ces 24 derniers mois que c'est devenue une blague. Brèf, à ne pas utiliser.
Apparemment tu ne sais pas trop de quoi tu parles: " qui utilise des protocoles de niveau militaire et qui est donc très long a déchiffrer"
Les discussions sur Signal sont instantanées. Il n'y a pas de latence particulière. le protocole de chiffrement asymétrique utilisé par Open Whisper est open source.
D'ailleurs Moxie viens de publier un article qui rectifie l'erreur du Guardian en parlant de "backdoor" https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/
Pleins de bonnes messageries existent pour aiguiller ceux qui sont perdus avec toutes ces app. Et cela se comprend vu la prolifération actuelle.
Si vous devez piocher:
Celles dont les serveurs sont centralisées: Signal, Wire, Threema
Les décentralisées: Toutes celles fonctionnant sur XMPP.
Un tableau comparatif récent: https://www.securemessagingapps.com/
Bientôt le même souci avec Telegram je suppose... Ils nous vendent une pseudo sécurité avec ces chiffrements de bout en bout mais en fait c'est pour berner encore plus l'utilisateur qui se pense protéger avec ces applications d'échange de message.
J'en arrive à croire que le bon vieux SMS est plus sécurisé que tout ces trucs !
@ ArthurPrchy
La source numéro un, et de très loin, de l'échec d'un système de chiffrement de données est le facteur humain, en l'occurence la courge moyenne qui pense qu'une app utilisant un cryptage militaire est indispensable pour pouvoir s'épancher tranquillement sur sa passion pour Les Feux de l'amour avec ses potes.
Le problème, c'est qu'un outil de qualité militaire utilisé par une courge, ça ne sert à rien. Si c'est pour coller un mot de passe comme 1234, le nom de son chien ou sa date de naissance, autant continuer à utiliser les SMS, effectivement.
D'une manière générale, quand on ne comprend pas le fonctionnement et les impératifs liés à la bonne utilisation d'un système de chiffrage, vaut mieux passer son chemin et se cantonner a ce que l'on maîtrise.
@occam
"On ne dit plus « chiffré », on dit « accessible aux organismes de surveillance à trois lettres »."
Dommage pour les RG alors (2 lettres).
Ah non, le nom a changé, c'est la DCRI maintenant (4 lettres). Tant pis pour les espions français..
@EBLIS
"Même si je ne suis plus utilisateur de iMessage, c'est celui qui m'inspirait le plus confiance. J'ai Signal mais ne me suis pas encore bien renseigné. Un connaisseur pourrait nous éclairer ?"
Snowden dit du bien de Signal.
@IceWizard
Snowden, le gars qui s'est trouvé la Russie et Putin comme ami ou un autre Snowden ?
C'est ballot ! ?
Plus personne n'utilise ces messageries pour échanger des infos privées. Le truc à la mode c'est le compte mail d'où aucun message ne part. On écrit un brouillon et quelqu'un d'autre se connecte pour le lire. Et ainsi le message n'a jamais circulé. Pas d'expéditeur, pas de destinataire...
@powergeek
Malheureusement dans le livre de Glen Greenwald sur les documents remis par Snowden, ainsi que plusieurs interviews de ce derniers ( une en particulier est celle de John Oliver ll me semble) celui ci expliqué que même les brouillons sur les adresse mails sont récupérer par la fameuse agence à 3 lettres, donc ....le papier c'est bien sinon (XD)
@powergeek
"Et ainsi le message n'a jamais circulé"
À part sur les serveurs du webmail Google)…
@romain90
Il existe autre chose que Google pour le mail quand même ;)
Bonsoir,
Je vais tenter de mettre un peu de clarification dans les messages que j'ai lu plus haut, car il y a du vrai et du faux, mais surtout beaucoup de personne qui demande "Mais alors on fait quoi?".
1) L'email (comme cité par @C1rc3@0rc) est, loin d'être sécurisé, le plus mauvais des protocoles internet, simplement parce qu'étant vieux et créer à un moment ou les questions de sécurités ne se posaient pas. On peut ajouter une surcouche pour les crypter, mais c'est une autre question.
2) "Signal" est une app extrêmement forte niveau cryptage. La meilleure. Elle pose cependant des problèmes d'utilisation de "tous-les-jours", et en particulier, aucune sauvegarde dans le Cloud. (Pour des raisons évidentes).
3) Telegram est soi-disant une app assurant la confidentialité, mais pratique en fait le cryptage client-server, server-client. C'est-à-dire que la compagnie derrière Telegram voit tout. Pas terrible et donc à éviter.
4) WhatsApp enfin, celui qui nous intéresse. WhatsApp est une app grand public qui offre un cryptage d'excellente qualité pour une utilisation et un public "standard".
4.1) La faille décrite ci-dessus n'est PAS une back-door (merci de corriger le titre qui alerte tout le monde). Il s'agit d'une caractéristique provenant du protocole de "Signal", basé sur les numéros de téléphone qui peuvent évidemment changer. La solution de signal est d'afficher une alerte. La solution de WhatsApp est de renvoyer le message et courir le risque, car il s'agit d'une app pour le grand public et non pour des initiés.
4.2) WhatsApp ne peut pas demander un renvoie des tous les messages. Sitôt délivré une fois, il ne les renverra plus. @Rodri31 @Nicolapps
4.3) La plus grosse faille de WhatsApp est... son back-up stocké sur iCloud ou GoogleDrive :(
Source:
Un très bon article de theintercept et mon master en sécurité informatique.
https://theintercept.com/2016/06/22/battle-of-the-secure-messaging-apps-how-signal-beats-whatsapp/
Super, merci de cette remise en perspective, parce qu'entre paranoia et bêtise crasse, c'est un peu difficile de tirer quelque chose de ces discussions.
@adixya
Avec plaisir !
@jmuth
On apprend des choses ici. Sympa de prendre le temps de la pédagogie
Merci.
Merci pour ton post qui rectifie de nombreuses bêtises dites plus haut.
Juste pour chipoter un peu: je ne vois pas en quoi Signal pose un "problème de tout les jours" sans cloud. Je l'utilise tous les jours et ce n'est vraiment pas un souci, surtout qu'on peut l'utiliser en simultané en dehors de l'app mobile via l'extension dispo pour Chrome/Chromium sur desktop.
L'email est un moyen très fiable dès lors que l'on se dirige vers des solutions de chiffrement de type PGP ou d'autres solutions plus user friendly comme Protonmail.
@Shadokuss
Tu as raison pour les emails bien sûr, je ne voulais juste pas embrouiller les gens avec trop de détails techniques, comme le PGP. La grande erreur que j'ai vu c'est que le mail est vu par beaucoup de monde comme plus "sérieux" que les messageries, alors que c'est l'inverse (en utilisation naïve encore une fois).
C'est un point qui mériterait d'être plus clairement expliqué au grand public à mon avis. Si tu connais le PGP et protonmail, tu es d'ailleurs probablement de mon avis =P
En ce qui concerne Signal c'est une application extraordinaire. Encore une fois j'essaye de faire la par des choses: Monsieur et Madame tout le monde on accès à une grande confidentialité avec whatsapp, et je trouve que les développeurs sont mal remerciés pour leur travail accompli dans ce sens. Le cryptage end-to-end à portée de non-initiés.
Enfin, le côté "archaïque" de signal vient pour moi (par exemple) de l'absence de backup (presque obligatoire si on veut une sécurité totale. La encore je fais des raccourcis). Allez expliquer à ma mère qu'elle ne peut pas récupérer ses conversation parce qu'elle a changé de téléphone !
Tout comme l'alerte lors d'un changement de numéro, là encore obligatoire pour contrer la faille whatsapp dont nous parlons justement. Allez expliquer, encore à ma chère mère (la pauvre si elle me lisait ^^), que ce message n'a rien d'alarmant dans son cas.
Enfin, et puisque tu es intéressé, un défaut dont on ne parle pas de whatsapp, est le log de toutes les metadata liés au conversation. Le contenu lui-même est crypté mais le destinataire, l'heure,... sont accessibles à whatsapp et donc potentiellement accessibles aux organes de surveillance au bénéfice d'un mandat (ou pas puisqu'ils s'en passent apparemment souvent ^^). Là encore Signal fait beaucoup mieux et n'enregistre rien.
D'ailleurs quel est l'intérêt ou plutôt est ce que ça sert à quelque chose d'utiliser Protonmail si c'est pour envoyer des messages vers une messagerie classique type icloud, gmail, hotmail. En gros, est-ce que pour profiter d'une telle sécurité il faut que tous les correspondants utilisent les mêmes "services/logiciels" (je dirais oui mais je me trompe peut être) ?
Il est possible d'envoyer (sous réserve de certaines limitations: nombre d'envoi limité par heure) des mails chiffrés vers des messageries tierces (gmail, Outlook, FAI...etc). Il faudra que le destinataire rentre le mot de passe crée spécifiquement pour y accéder. Ce service est très pratique si l'on veut envoyer un mail sécurisé à un de ces contacts, ne possédant pas de compte ProtonMail.
Une astuce: Vous pouvez envoyer le mot de passe correspondant via une autre messagerie sécurisée (Signal ou autre)
Vous pouvez aussi envoyer des mail en clair comme n'importe quelle messagerie au besoin.
Toutefois il est clair que le système tel qu'il est actuellement, est davantage optimisé pour un fonctionnement de ProtonMail vers ProtonMail. Car là le système est transparent; nul besoin de rentrer un mot de passe pour chaque message.
Je ne comprends toujours pas l'utilité de cette application au lieu de iMessage. Quels' un peut il éventuellement m'éclairer s'il vous plaît ? ;)
iMessage ne fonctionne que dans l'écosystème Apple, donc si tu as des connaissances qui sont sur Android, Windows... ça limite pas mal déjà. Il y a aussi des fonctions de chats groupés, de possibilités de chats audio et vidéos, envoi de docs...etc
Mais surtout il y a mieux que WhatsApp (petit comparatif que j'avais déjà posté plus haut: https://www.securemessagingapps.com/ )
Perso j'ai une préférence pour Signal et Wire actuellement. Lorsque on les teste on se rend compte (surtout avec Wire par ex) que iMessage est très rudimentaire en comparaison.
Le seul inconvénient: Convaincre ses contacts de tester et migrer sur ces solutions qui sont bien meilleures qu'Allo ou Messenger, mais surtout plus sécurisées et plus respectueuses de la vie privée.
Testez-les vous serez conquis.
@Duga95
"Snowden, le gars qui s'est trouvé la Russie et Putin comme ami ou un autre Snowden ?"
Snowden l'expert en sécurité informatique, celui qui vit dans le même corps que Snowden-j'ai-révélé-certaines-malversations-informatiques-des-services-de-renseignement-us. Moi aussi, j'irais en Russie si les américains voulaient me mettre dans une broyeuse à ordures. Ou en Corée du Nord, mais j'ai un faible pour les blondes aux yeux bleus, alors la Russie c'est bien.. Et je dirais des choses gentilles sur le propriétaire-dictateur du coin de peur qu'il ne me jette à la porte.
@IceWizard
"Et je dirais des choses gentilles sur le propriétaire-dictateur du coin de peur qu'il ne me jette à la porte."
Tout en fermant ta gueule à propos des gentils services secrets dudit dictateur, dont les exactions n'ont bien entendu rien à voir avec celle des méchants services secrets qui t'ont nourris puis que tu as trahis (car tu ne savais évidemment pas à quoi t'attendre quand tu les a intégrés, pauvre vierge vulnérable que tu étais).
Tu serais donc un homme parfaitement fiable, qui inspirerait une grande confiance.
J'en ai un peu marre de la phobie des "agences à trois lettres". Je ne suis ni djihadiste, ni journaliste d'investigation, ni opposant politique d'une république "Démocratique". Personnellement, je me pense bien plus surveillé par les entreprises privées multinationales que par les agences étatiques.
Rien a voir...
Mais perso j'ai viré whatsapp et facebook de mon xcover2 et bizarrement ce phone tient 3-4jrs niveau batterie voir plus en utilisation normal...
Donc je 'signale' que ces app$ ne sont pas indispensable
Le problème c'est que la grande majorité s'en fout et que si toute sa famille et ses amis utilise WhatsApp c'est difficile de s'en passer solid à s'isoler et à passer pour un geek paranoïaque, ou devenir un évangéliste pour une solution alternative comme Signal
@Biking Dutch Man
C'est assez vrai. Les copines de ma fille utilisent WhatsApp, elle utilise donc WhatsApp, et pour communiquer avec elle j'utilise WhatsApp, portes dérobées ou pas. La messe est dite.
"Le Guardian conseille de ne plus utiliser WhatsApp si on se sert de l’app dans le cadre d’activités sensibles (enquête journalistique, discussion diplomatique…)."
Sérieux ?! Pfiuuu eh ben ça pour une surprise ! Et moi qui avait commencé à expliquer à mon pote du tennis par des preuves tangibles qui sont les cerveaux derrière Trum... eh merde !
Heureusement il reste Facebook Messenger, là au moins on est safe !
@Shadokuss @Eltigrou @Rodri31 @Nicolapps
Pour les intéressés (et pour confirmer que je n'ai pas tout inventé, après tout vous n'aviez que ma parole comme garante ^^) voici un article sorti aujourd'hui sur TechCrunch. Un groupe de chercheurs indépendant ont écrit une lettre ouverte (soutenue par l'Electronic Frontier Fondation) demandant au Guardian de corriger leur article et de ne pas réitérer des accusations pareilles sans consulter d'experts, alarmant les gens pour rien.
https://techcrunch.com/2017/01/20/security-researchers-call-for-guardian-to-retract-false-whatsapp-backdoor-story/