Alerte à la porte dérobée dans WhatsApp

Mickaël Bazoge |

Il y a une porte dérobée dans WhatsApp, qui permet à une tierce partie (comme un organisme de surveillance à trois lettres, par exemple) d’intercepter et de lire des messages sans le consentement des utilisateurs. La découverte, révélée par le Guardian, est liée à l’implantation du protocole Signal qui gère le chiffrement des données dans l’application de messagerie instantanée.

Signal n’est pas en cause ici, mais plutôt son intégration par Facebook dans WhatsApp. Un message envoyé à un correspondant hors ligne qui change de smartphone ou réinstalle l’application, sera chiffré avec de nouvelles clés. Il sera ensuite envoyé au correspondant, sans alerter par défaut les utilisateurs du changement opéré au niveau des clés de chiffrement. Ce processus permet à WhatsApp de jeter un œil indiscret sur le ou les messages. En cas de mandat de justice, WhatsApp pourrait être amené à fournir ces informations.

Le protocole Signal (qui est également une application recommandée par Edward Snowden), développé par Open Whisper Systems, ne présente pas cette backdoor. En cas de problème de connexion, si la clé de chiffrement du destinataire est modifiée hors ligne, le message ne sera pas livré et l’expéditeur en sera prévenu.

Un porte-parole de WhatsApp a expliqué en substance que ce n’était pas un bug, mais… une fonction. Il s’agit d’assurer la continuité d’une conversation en cas de changement de téléphone ou de réinstallation de WhatsApp. « Dans beaucoup de pays, les gens changent fréquemment d’appareils et de cartes SIM. Dans ces situations, nous voulons nous assurer que les messages sont bien livrés », précise le porte-parole.

Dans les réglages de WhatsApp, on trouvera une option Afficher les notifications de sécurité (Compte > Sécurité). Celle-ci active des messages d’alerte en cas de modification du code de sécurité d’un contact.

Cliquer pour agrandir

Mais si activer cette option informe effectivement l’utilisateur d’une modification dans la sécurité de la discussion, elle ne ferme pas la porte dérobée. Le Guardian conseille de ne plus utiliser WhatsApp si on se sert de l’app dans le cadre d’activités sensibles (enquête journalistique, discussion diplomatique…). Ou si tout simplement on tient à la confidentialité de ses échanges.

avatar Rodri31 | 

J'ai lu l'article mais j'ai pas compris. Quelqu'un peut faire un résumer ? ??

avatar Nicolapps | 

@Rodri31

Si on envoie un message à quelqu'un et que cette personne change de téléphone avant de le recevoir, WhatsApp va envoyer à nouveau le message pour qu'il soit lisible par le nouveau téléphone. Mais du coup, WhatsApp pourrait se servir de ce comportement pour recevoir tes messages (en disant à ton téléphone « Salut, je suis le nouveau téléphone de Rodri, est-ce que tu pourrais me rechiffrer le message de manière à ce que je puisse le lire ? »)

avatar Rodri31 | 

@Nicolapps

Ok merci ;)

avatar frankm | 

@Rodri31

Si c'est Facebook qui gère, pas question que les messages soient réellement confidentiels

avatar R1x_Fr1x | 

"Mais non c'est crypté de bout en bout seuls l'expéditeur et le destinataire peuvent lire"
Bon ok WhatsApp Viber etc mais iMessage non car c'est Apple!
(Snowden se marre)

avatar frankm | 

@R1x_Fr1x

Sauf que Apple ne vit pas sur le contenu des messages

avatar C1rc3@0rc | 

Ce n'est meme pas la question.

Le principe c'est le Patriot Act qui le definit: aucune personne morale ou physique ne peut fournir un systeme de chiffrement qui n'offre un acces aux services de renseignement. Sinon la personne est suspectée potentielement d'aide a des entreprises terroristes. Et comme la definition ne depend que de la qualification par un agent d'etat..

De meme les systemes ne permettant pas une tracabilite totale des transaction (conversationnelles, monetaires, marchande,...) sont interdites selon les memes principes. C'est pourquoi aujourd'hui il y a un enfermement progressif vers le paiment electronique et la suppression du paiment en especes.

Quand a Facebook c'est le plus puissant graphe social permettant de cartographier les reseau relationnel et le comportement d'un individu ou d'un groupe d'individu. et comme c'est un systeme proprietaire, personne d'exterieur ne peut savoir jusqu'a quel niveau de fichage cela va. en tout cas on peut se douter que le niveau depasse largement tout ce qui est legalement permis.

Reste donc a utiliser les outils classiques de l'Internet: Mail, IRC, WEB, ... en lieu et place des saletes comme Facebook, et utiliser des outils de consultations comme TOR, Signale, GPG,... Mais surtout de fair bon usage de sa carte d'electeur et de demander des garanties a ceux a qui l'on veut confier des responsabilites democratiques.

avatar benooo8888 | 

Rahhhh les salauds.... quand y en a plus et bah y en a encore

avatar iG | 

On ne dit pas crypté mais chiffré

avatar R1x_Fr1x | 

@iG

Oui c vrai au temps pour moi

avatar occam | 

@iG

On ne dit plus « chiffré », on dit « accessible aux organismes de surveillance à trois lettres ».

avatar C1rc3@0rc | 

Helas y a pas que ceux a 3 lettres qui posent problemes... les USA disposent de plus de 20 agences de surveillance auquelles ils faut rajouter celles des anglais, des francais, des allemand, des italiens, des israeliens, des canadiens,... En tout le nombre d'agents qui controlent et fiche la population mondiale est astronomique, et plus astronomique la puissance technologique dont dispose cette mega Stasi. Le pire c'est que si les interets servis sont d'abord ceux commerciaux americains, les executants locaux, eux sont des elus nationnaux qui oeuvrent a contre interet des peuples qu'ils sont censes servir. Bernard, si tu nous lis...

avatar jb18v | 

en gros en cas de changement de tél, le message n'est plus correctement chiffré.. de ce que je comprends si les personnes ne changent pas ou ne réinstallent pas l'appli ça devrait pas trop craindre ?

avatar romain90 | 

Le message ne devrait pouvoir être déchiffré seulement par le destinataire ou l'envoyeur.
La ou ce n'est pas clair, c'est si le message est réenvoyé une fois une nouvelle clé créé, ou est-ce que WhatsApp peut lui même le déchiffrer pour le chiffrer avec la nouvelle clé.
Si c'est la deuxième option, ce n'est carrément plus du chiffrement de bout en bout.

avatar Shadokuss | 

L'article du Guardian amène de nombreuses confusions et mal compris par MacG: Il n'y a pas de backdoor dans WhatsApp. Le problème qui n'est pas nouveau, se pose sur un risque d'authenticité du contact (l’information est attribuée à son auteur légitime.)
C'est un risque classique en sécurité informatique d'interception de type MITM dit attaque de l'homme du milieu. (https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu )

L'alerte en cas de changement de clés de sécurité reste optionnelle dans les réglages. Ce qui pose un risque en cas de substitution d'un contact.

avatar EBLIS | 

Perso je n'arrive pas à faire confiance à ces Viber, WhatsApp et compagnie et je refuse de les installer.
Même si je ne suis plus utilisateur de iMessage, c'est celui qui m'inspirait le plus confiance. J'ai Signal mais ne me suis pas encore bien renseigné. Un connaisseur pourrait nous éclairer ?

avatar Jack | 

@ romain90

En fait, Signal (l'app) et WhatsApp utilisent tous deux le moteur de chiffrement "Signal" de Open Whisper systems (qui est également l'éditeur de Signal, l'app), qui utilise des protocoles de niveau militaire et qui est donc très long a déchiffrer. En revanche, Signal (toujours l'app), ne souffre pas de la porte dérobée qu'on vient de découvrir chez WhatsApp et tu peux donc l'utiliser sans crainte. Signal (l'app) est d'ailleurs généralement considérée comme la meilleure option pour garder des conversations privées... privées, justement.

La ou c'est particulièrement énervant, c'est que Trouduculbook a été averti début 2016 de la présence de la porte dérobée en question et qu'ils n'ont sciemment rien fait pour la fermer.

Quant à Telegram, l'app a été compromise tellement de fois ces 24 derniers mois que c'est devenue une blague. Brèf, à ne pas utiliser.

avatar Shadokuss | 

Apparemment tu ne sais pas trop de quoi tu parles: " qui utilise des protocoles de niveau militaire et qui est donc très long a déchiffrer"

Les discussions sur Signal sont instantanées. Il n'y a pas de latence particulière. le protocole de chiffrement asymétrique utilisé par Open Whisper est open source.

D'ailleurs Moxie viens de publier un article qui rectifie l'erreur du Guardian en parlant de "backdoor" https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/

avatar Shadokuss | 

Pleins de bonnes messageries existent pour aiguiller ceux qui sont perdus avec toutes ces app. Et cela se comprend vu la prolifération actuelle.

Si vous devez piocher:
Celles dont les serveurs sont centralisées: Signal, Wire, Threema
Les décentralisées: Toutes celles fonctionnant sur XMPP.

Un tableau comparatif récent: https://www.securemessagingapps.com/

avatar ArthurPrchy | 

Bientôt le même souci avec Telegram je suppose... Ils nous vendent une pseudo sécurité avec ces chiffrements de bout en bout mais en fait c'est pour berner encore plus l'utilisateur qui se pense protéger avec ces applications d'échange de message.
J'en arrive à croire que le bon vieux SMS est plus sécurisé que tout ces trucs !

avatar Jack | 

@ ArthurPrchy

La source numéro un, et de très loin, de l'échec d'un système de chiffrement de données est le facteur humain, en l'occurence la courge moyenne qui pense qu'une app utilisant un cryptage militaire est indispensable pour pouvoir s'épancher tranquillement sur sa passion pour Les Feux de l'amour avec ses potes.

Le problème, c'est qu'un outil de qualité militaire utilisé par une courge, ça ne sert à rien. Si c'est pour coller un mot de passe comme 1234, le nom de son chien ou sa date de naissance, autant continuer à utiliser les SMS, effectivement.

D'une manière générale, quand on ne comprend pas le fonctionnement et les impératifs liés à la bonne utilisation d'un système de chiffrage, vaut mieux passer son chemin et se cantonner a ce que l'on maîtrise.

avatar IceWizard | 

@occam
"On ne dit plus « chiffré », on dit « accessible aux organismes de surveillance à trois lettres »."

Dommage pour les RG alors (2 lettres).
Ah non, le nom a changé, c'est la DCRI maintenant (4 lettres). Tant pis pour les espions français..

avatar IceWizard | 

@EBLIS
"Même si je ne suis plus utilisateur de iMessage, c'est celui qui m'inspirait le plus confiance. J'ai Signal mais ne me suis pas encore bien renseigné. Un connaisseur pourrait nous éclairer ?"

Snowden dit du bien de Signal.

avatar Duga95 | 

@IceWizard

Snowden, le gars qui s'est trouvé la Russie et Putin comme ami ou un autre Snowden ?

avatar Sokö | 

C'est ballot ! ?

avatar powergeek | 

Plus personne n'utilise ces messageries pour échanger des infos privées. Le truc à la mode c'est le compte mail d'où aucun message ne part. On écrit un brouillon et quelqu'un d'autre se connecte pour le lire. Et ainsi le message n'a jamais circulé. Pas d'expéditeur, pas de destinataire...

avatar TheG | 

@powergeek

Malheureusement dans le livre de Glen Greenwald sur les documents remis par Snowden, ainsi que plusieurs interviews de ce derniers ( une en particulier est celle de John Oliver ll me semble) celui ci expliqué que même les brouillons sur les adresse mails sont récupérer par la fameuse agence à 3 lettres, donc ....le papier c'est bien sinon (XD)

avatar romain90 | 

@powergeek

"Et ainsi le message n'a jamais circulé"

À part sur les serveurs du webmail Google)…

avatar powergeek | 

@romain90

Il existe autre chose que Google pour le mail quand même ;)

avatar jmuth | 

Bonsoir,
Je vais tenter de mettre un peu de clarification dans les messages que j'ai lu plus haut, car il y a du vrai et du faux, mais surtout beaucoup de personne qui demande "Mais alors on fait quoi?".

1) L'email (comme cité par @C1rc3@0rc) est, loin d'être sécurisé, le plus mauvais des protocoles internet, simplement parce qu'étant vieux et créer à un moment ou les questions de sécurités ne se posaient pas. On peut ajouter une surcouche pour les crypter, mais c'est une autre question.

2) "Signal" est une app extrêmement forte niveau cryptage. La meilleure. Elle pose cependant des problèmes d'utilisation de "tous-les-jours", et en particulier, aucune sauvegarde dans le Cloud. (Pour des raisons évidentes).

3) Telegram est soi-disant une app assurant la confidentialité, mais pratique en fait le cryptage client-server, server-client. C'est-à-dire que la compagnie derrière Telegram voit tout. Pas terrible et donc à éviter.

4) WhatsApp enfin, celui qui nous intéresse. WhatsApp est une app grand public qui offre un cryptage d'excellente qualité pour une utilisation et un public "standard".
4.1) La faille décrite ci-dessus n'est PAS une back-door (merci de corriger le titre qui alerte tout le monde). Il s'agit d'une caractéristique provenant du protocole de "Signal", basé sur les numéros de téléphone qui peuvent évidemment changer. La solution de signal est d'afficher une alerte. La solution de WhatsApp est de renvoyer le message et courir le risque, car il s'agit d'une app pour le grand public et non pour des initiés.
4.2) WhatsApp ne peut pas demander un renvoie des tous les messages. Sitôt délivré une fois, il ne les renverra plus. @Rodri31 @Nicolapps
4.3) La plus grosse faille de WhatsApp est... son back-up stocké sur iCloud ou GoogleDrive :(

Source:
Un très bon article de theintercept et mon master en sécurité informatique.
https://theintercept.com/2016/06/22/battle-of-the-secure-messaging-apps-...

avatar adixya | 

Super, merci de cette remise en perspective, parce qu'entre paranoia et bêtise crasse, c'est un peu difficile de tirer quelque chose de ces discussions.

avatar jmuth | 

@adixya

Avec plaisir !

avatar Eltigrou | 

@jmuth

On apprend des choses ici. Sympa de prendre le temps de la pédagogie

Merci.

avatar Shadokuss | 

Merci pour ton post qui rectifie de nombreuses bêtises dites plus haut.

Juste pour chipoter un peu: je ne vois pas en quoi Signal pose un "problème de tout les jours" sans cloud. Je l'utilise tous les jours et ce n'est vraiment pas un souci, surtout qu'on peut l'utiliser en simultané en dehors de l'app mobile via l'extension dispo pour Chrome/Chromium sur desktop.

L'email est un moyen très fiable dès lors que l'on se dirige vers des solutions de chiffrement de type PGP ou d'autres solutions plus user friendly comme Protonmail.

avatar jmuth | 

@Shadokuss

Tu as raison pour les emails bien sûr, je ne voulais juste pas embrouiller les gens avec trop de détails techniques, comme le PGP. La grande erreur que j'ai vu c'est que le mail est vu par beaucoup de monde comme plus "sérieux" que les messageries, alors que c'est l'inverse (en utilisation naïve encore une fois).

C'est un point qui mériterait d'être plus clairement expliqué au grand public à mon avis. Si tu connais le PGP et protonmail, tu es d'ailleurs probablement de mon avis =P

En ce qui concerne Signal c'est une application extraordinaire. Encore une fois j'essaye de faire la par des choses: Monsieur et Madame tout le monde on accès à une grande confidentialité avec whatsapp, et je trouve que les développeurs sont mal remerciés pour leur travail accompli dans ce sens. Le cryptage end-to-end à portée de non-initiés.

Enfin, le côté "archaïque" de signal vient pour moi (par exemple) de l'absence de backup (presque obligatoire si on veut une sécurité totale. La encore je fais des raccourcis). Allez expliquer à ma mère qu'elle ne peut pas récupérer ses conversation parce qu'elle a changé de téléphone !
Tout comme l'alerte lors d'un changement de numéro, là encore obligatoire pour contrer la faille whatsapp dont nous parlons justement. Allez expliquer, encore à ma chère mère (la pauvre si elle me lisait ^^), que ce message n'a rien d'alarmant dans son cas.

Enfin, et puisque tu es intéressé, un défaut dont on ne parle pas de whatsapp, est le log de toutes les metadata liés au conversation. Le contenu lui-même est crypté mais le destinataire, l'heure,... sont accessibles à whatsapp et donc potentiellement accessibles aux organes de surveillance au bénéfice d'un mandat (ou pas puisqu'ils s'en passent apparemment souvent ^^). Là encore Signal fait beaucoup mieux et n'enregistre rien.

avatar EBLIS | 

D'ailleurs quel est l'intérêt ou plutôt est ce que ça sert à quelque chose d'utiliser Protonmail si c'est pour envoyer des messages vers une messagerie classique type icloud, gmail, hotmail. En gros, est-ce que pour profiter d'une telle sécurité il faut que tous les correspondants utilisent les mêmes "services/logiciels" (je dirais oui mais je me trompe peut être) ?

avatar Shadokuss | 

Il est possible d'envoyer (sous réserve de certaines limitations: nombre d'envoi limité par heure) des mails chiffrés vers des messageries tierces (gmail, Outlook, FAI...etc). Il faudra que le destinataire rentre le mot de passe crée spécifiquement pour y accéder. Ce service est très pratique si l'on veut envoyer un mail sécurisé à un de ces contacts, ne possédant pas de compte ProtonMail.
Une astuce: Vous pouvez envoyer le mot de passe correspondant via une autre messagerie sécurisée (Signal ou autre)
Vous pouvez aussi envoyer des mail en clair comme n'importe quelle messagerie au besoin.

Toutefois il est clair que le système tel qu'il est actuellement, est davantage optimisé pour un fonctionnement de ProtonMail vers ProtonMail. Car là le système est transparent; nul besoin de rentrer un mot de passe pour chaque message.

avatar Noxtar_ | 

Je ne comprends toujours pas l'utilité de cette application au lieu de iMessage. Quels' un peut il éventuellement m'éclairer s'il vous plaît ? ;)

avatar Shadokuss | 

iMessage ne fonctionne que dans l'écosystème Apple, donc si tu as des connaissances qui sont sur Android, Windows... ça limite pas mal déjà. Il y a aussi des fonctions de chats groupés, de possibilités de chats audio et vidéos, envoi de docs...etc

Mais surtout il y a mieux que WhatsApp (petit comparatif que j'avais déjà posté plus haut: https://www.securemessagingapps.com/ )

Perso j'ai une préférence pour Signal et Wire actuellement. Lorsque on les teste on se rend compte (surtout avec Wire par ex) que iMessage est très rudimentaire en comparaison.

Le seul inconvénient: Convaincre ses contacts de tester et migrer sur ces solutions qui sont bien meilleures qu'Allo ou Messenger, mais surtout plus sécurisées et plus respectueuses de la vie privée.

Testez-les vous serez conquis.

avatar IceWizard | 

@Duga95
"Snowden, le gars qui s'est trouvé la Russie et Putin comme ami ou un autre Snowden ?"

Snowden l'expert en sécurité informatique, celui qui vit dans le même corps que Snowden-j'ai-révélé-certaines-malversations-informatiques-des-services-de-renseignement-us. Moi aussi, j'irais en Russie si les américains voulaient me mettre dans une broyeuse à ordures. Ou en Corée du Nord, mais j'ai un faible pour les blondes aux yeux bleus, alors la Russie c'est bien.. Et je dirais des choses gentilles sur le propriétaire-dictateur du coin de peur qu'il ne me jette à la porte.

avatar Bigdidou | 

@IceWizard
"Et je dirais des choses gentilles sur le propriétaire-dictateur du coin de peur qu'il ne me jette à la porte."

Tout en fermant ta gueule à propos des gentils services secrets dudit dictateur, dont les exactions n'ont bien entendu rien à voir avec celle des méchants services secrets qui t'ont nourris puis que tu as trahis (car tu ne savais évidemment pas à quoi t'attendre quand tu les a intégrés, pauvre vierge vulnérable que tu étais).
Tu serais donc un homme parfaitement fiable, qui inspirerait une grande confiance.

avatar 7X | 

J'en ai un peu marre de la phobie des "agences à trois lettres". Je ne suis ni djihadiste, ni journaliste d'investigation, ni opposant politique d'une république "Démocratique". Personnellement, je me pense bien plus surveillé par les entreprises privées multinationales que par les agences étatiques.

avatar killabling | 

Rien a voir...
Mais perso j'ai viré whatsapp et facebook de mon xcover2 et bizarrement ce phone tient 3-4jrs niveau batterie voir plus en utilisation normal...
Donc je 'signale' que ces app$ ne sont pas indispensable

avatar Biking Dutch Man | 

Le problème c'est que la grande majorité s'en fout et que si toute sa famille et ses amis utilise WhatsApp c'est difficile de s'en passer solid à s'isoler et à passer pour un geek paranoïaque, ou devenir un évangéliste pour une solution alternative comme Signal

avatar Bigdidou | 

@Biking Dutch Man
C'est assez vrai. Les copines de ma fille utilisent WhatsApp, elle utilise donc WhatsApp, et pour communiquer avec elle j'utilise WhatsApp, portes dérobées ou pas. La messe est dite.

avatar cdp86 | 

"Le Guardian conseille de ne plus utiliser WhatsApp si on se sert de l’app dans le cadre d’activités sensibles (enquête journalistique, discussion diplomatique…)."

Sérieux ?! Pfiuuu eh ben ça pour une surprise ! Et moi qui avait commencé à expliquer à mon pote du tennis par des preuves tangibles qui sont les cerveaux derrière Trum... eh merde !

Heureusement il reste Facebook Messenger, là au moins on est safe !

avatar jmuth | 

@Shadokuss @Eltigrou @Rodri31 @Nicolapps
Pour les intéressés (et pour confirmer que je n'ai pas tout inventé, après tout vous n'aviez que ma parole comme garante ^^) voici un article sorti aujourd'hui sur TechCrunch. Un groupe de chercheurs indépendant ont écrit une lettre ouverte (soutenue par l'Electronic Frontier Fondation) demandant au Guardian de corriger leur article et de ne pas réitérer des accusations pareilles sans consulter d'experts, alarmant les gens pour rien.

https://techcrunch.com/2017/01/20/security-researchers-call-for-guardian...

CONNEXION UTILISATEUR