Skype chiffre les conversations avec Signal, WhatsApp a un souci de sécurité

Mickaël Bazoge |

Skype teste une fonction de conversation chiffrée de bout en bout. Microsoft s'appuie sur le protocole Signal développé par Open Whisper Systems, qui est aussi utilisé dans bon nombre de messageries instantanées (dans Messenger de Facebook, Allo de Google…). Skype offre déjà un certain degré de protection des communications, mais jusqu'à présent cela n'allait pas jusqu'à ce type de chiffrement très sécurisé.

Cliquer pour agrandir

Pour profiter de cette fonction, il faut utiliser la dernière version "insider" de Skype (numérotée 8.13.76.8) disponible sur macOS, Windows, iOS, Android et Linux. Le chiffrement de bout en bout n'est disponible que dans le cadre d'une discussion texte, pour des messages audio et l'envoi de fichiers ; en revanche, les conversations audio et vidéo ne sont pas prises en charge. Et il faut discuter avec un correspondant qui utilise lui aussi le logiciel dans la version insider, en attendant un déploiement grand public.

Des trous dans WhatsApp

La sécurité, c'est compliqué. Lors de la conférence sur la sécurité Real World Crypto de Zurich, une équipe de chercheurs a mis au jour une série de vulnérabilités qui frappent les applications Threema, Signal et WhatsApp (ces deux dernières utilisant le protocole Signal).

Pour Threema et Signal, les failles sont « relativement inoffensives », mais ce n'est pas le cas pour WhatsApp, qui a activé le chiffrement de bout en bout il y a deux ans. Les fins limiers ont montré qu'un malandrin ayant accès aux serveurs de WhatsApp pouvait sans effort ajouter un nouveau membre dans un groupe de conversation privée.

Cliquer pour agrandir

Le malotru peut alors écouter aux portes et lire les messages. Cette attaque tire profit d'un bug : seul l'administrateur d'un groupe WhatsApp peut inviter de nouveaux membres, mais le service n'utilise pas de mécanisme d'authentification pour l'invitation, décrit Wired. Le serveur de WhatsApp peut alors ajouter des utilisateurs dans le groupe, sans avoir besoin de l'aval de l'admin.

L'intrus obtient automatiquement les clés secrètes de tous les participants, ce qui lui permet de déchiffrer ensuite tous leurs messages à venir. Le chiffrement de bout en bout signifie pourtant que seuls les correspondants peuvent lire les messages, pas les serveurs. Et ce, même si ces derniers sont compromis. « C'est complètement foireux », se désole un professeur de cryptographie qui a examiné la recherche. « Il n'y a pas d'excuse ».

Un porte-parole de WhatsApp a reconnu l'existence de cette faille, tout en soulignant le fait qu'il est impossible d'ajouter de nouveaux participants sans que les membres du groupe n'en soient prévenus : une notification alerte en effet tout le monde qu'un nouveau membre inconnu vient de rejoindre la conversation. L'administrateur du groupe peut dès lors créer un nouveau groupe, sans le butor malpoli.

WhatsApp explique également que contourner cette vulnérabilité reviendrait à supprimer une fonction de l'application qui permet d'envoyer un lien d'invitation à un groupe : il suffit de cliquer sur ce lien pour rejoindre une conversation. Le bug, connu de WhatsApp depuis juillet dernier, ne se qualifierait même pas pour le programme de bug bounty de Facebook, le proprio de l'app.

Pour aller plus loin :
avatar Xap | 

J’ai eu peur quand j’ai vu Threema dans l’article mais heureusement la faille en question est effectivement inoffensive.

C’est la meilleure messagerie sécurisée à mon avis. Hyper agréable à utiliser!

avatar EBLIS | 

Pourquoi préfères tu cette App à disons, Signal ? Simple question de meilleure expérience utilisateur ou la sécurité entre-t-elle en jeu ?

avatar Xap | 

@EBLIS

L’interface utilisateur est pour moi un des aspects les plus importants. Et de ce coté, c’est l’app la plus agréable à utiliser de toutes celles que j’ai testées.

Après, je te laisse voir du coté des sites spécialisés qui expliqueront bien pourquoi c’est aussi une des meilleures concernant la sécurité et la confidentialité.

avatar RedMak | 

@EBLIS

Je viens de voir ton commentaire,
Je prefere Telegram Pour des questions d’ergonomie.
pour la sécurité, Telegram a un protocole propriétaire, signal est en open source, peut etre que ce dernier est plus sécurisé mais franchement j’ai pas des infos ultra top secret, du coup je reste avec Telegram.

avatar Novezan | 

Skype c'est bien développé par la NSA ?
Ok je sors 🙃=>

avatar Shralldam | 

Encore une histoire de gredins et de sacripants !

avatar C1rc3@0rc | 

Le proprio de Whatsapp ce serait pas Facebook, la boite ou les employés doivent systematiquement mettre un cache sur la webcam et semble-t-il avoir recours a la meme chose pour le micro...

Skype, architecture P2P a l'oigine qui une fois rachetee par MS, la succursale de la CIA et du FBI, a passe sur une architecture centralisée dependant des serveurs de MS...

moais...

avatar RedMak | 

Moi c’est télégram que j’utilise, elle est beaucoup plus agréable à utiliser que Signal je trouve.

avatar Aimstar95C | 

Moi je donne rendez-vous en face à face pour discuter de sujet sensible 😂✌🏼

avatar DG33 | 

@MB
Rooo ce butor 😂

avatar Orangeade | 

Vous pouvez aussi utiliser wickr.
https://www.wickr.com

A mes yeux les plus sécurisée et c’est donc peut être plus contraignant.

CONNEXION UTILISATEUR