Une faille de sécurité permet de contourner l’identification Face ID/Touch ID de WhatsApp

Mickaël Bazoge |

WhatsApp a un gros souci de sécurité avec Touch ID et Face ID. Une mise à jour récente de l’application de messagerie instantanée permet de protéger l’accès à l’app avec les outils biométriques des appareils iOS. Sauf qu’une petite manipulation permet de contourner très facilement cette sécurité.

Le malandrin doit passer par la feuille de partage d’iOS, via Photos par exemple. Dans le panneau de partage, il suffit de sélectionner l’option WhatsApp pour atterrir directement dans le menu de sélection de la discussion de l’application, sans avoir besoin de s’identifier. En quittant Photos (ou l’app à l’origine du partage), il est ensuite possible d’accéder à WhatsApp, là aussi sans authentification préalable.

Cette bidouille toute simple ne fonctionne qu’à deux conditions : d’une part, le malfrat doit avoir l’appareil déverrouillé de sa victime en main. D’autre part, l’activation Face ID/Touch ID dans WhatsApp ne doit pas être configurée sur immédiatement (l’app propose le déverrouillage biométrique après 1 ou 15 minutes, ou encore au bout d’une heure).

Facebook est au courant de la brèche, apparue sur Reddit. Pour s’en prémunir en attendant la mise à jour de sécurité promise par le réseau social, il faut configurer l’identification biométrique sur immédiatement : l’app demandera alors systématiquement une authentification à chaque ouverture.

avatar fabien.wanner | 

Cette faille a été comblée dans la version bêta de Whatsapp.

avatar Sacha12 | 

WhatsApp a déjà beaucoup de problèmes de sécurité ??? mais bon comme tout le monde l’utilise ils s’en foutent
-> go chez Signal.

avatar Bigdidou | 

@Sacha12

« -> go chez Signal. »

Ben oui, mais c’est pas si simple...

avatar Dark-mac | 

@Bigdidou

Avec un peu de bonne volonté, si, c’est possible

avatar Bigdidou | 

@Dark-mac

« Avec un peu de bonne volonté, si, c’est possible »

C’est quand même tes correspondants qui décident, au final.

avatar Dark-mac | 

@Bigdidou

C’est vrai, mais en leur expliquant clairement les problèmes au bout d’un moment ils finiront par migrer vers Signal

avatar coucou | 

"C’est quand même tes correspondants qui décident, au final."

S'ils t'imposes le moyen de communiquer avec eux, c'est que t'as vraiment très peu d'importance pour eux...

Change de correspondants parce que les soucis que tu peux/ne veux pas avoir ils en ont rien à foutre pendant que tu te soumets à leur 4 volontés.

avatar Bigdidou | 

@coucou

« S'ils t'imposes le moyen de communiquer avec eux, c'est que t'as vraiment très peu d'importance pour eux... »

N’importe quoi.
Tu n’as pas l’impression de penser à l’envers ?

avatar alexis83 | 

@Dark-mac

J’étais sur telegram avant mais convertir une foule d’utilisateurs c’est la mère à boire... j’ai réussi à en convaincre 4 et le reste que dal ça préfèrent rester sur messenger et whatsapp j’ai beau expliqué les gens s’en tapent donc bon si je veux avoir accès aux discutions de groupe bien obligé de suivre...

avatar Dark-mac | 

@alexis83

Oui c’est sûr, après évidement ça dépend des personnes que vous connaissez, certaines seront plus réceptives que d’autres

avatar alexis83 | 

@Dark-mac

Même les personnes réceptives et qui comprennent au final ce sera un « arf tant pis » pour globaliser. Sans apporter de réponse ce serait pratique d’avoir un hub pour les différentes messageries comme j’avais sur BlackBerry pour éviter de jongler entre plusieurs app...

avatar misterbrown | 

Mouais....

avatar moua | 

J’ai tenté signal : 6 contacts, TOUS sur WhatsApp
24 sur telegram, une poignée pas sur WhatsApp
Sur WhatsApp j’en ai 299

A quoi sert signal vs telegram en crypté ?
Il me semble que c’est le même protocol (whisper)
Et le cryptage de WhatsApp n’est pas fiable ?

avatar Sgt. Pepper | 

@moua

Le pb n’est pas dans le transport: même protocole “Signal”
Qui sécurise les messages..

Mais dans l’App, FB pourrait très bien utiliser le contenu des messages qui sont alors en en clair ( faut bien déchiffrer pour afficher),

Et surtout FB utilises/ monétise déjà les Meta données: qui parles à qui, quand , d’où,...

avatar jb18v | 

Je vois pas l’interêt de définir sur autre chose qu’immédiatement ..

avatar byte_order | 

Et voilà pourquoi il aurait mieux fallu que le déverrouillage par TouchID/FaceID à l'activation d'une app soit géré par iOS lui même, comme cela l'est sous Android, plutôt que laisser au bon (ou mauvais) loisir du développeur l'implémentant parfois n'importe comment dans son application et uniquement la sienne...

avatar Tomtomrider | 

@byte_order

Ça voudrait dire que l’on pourrait potentiellement l’activer sur toutes les app?

avatar moua | 

Ça y est c’est déjà corrigé, MAJ dans l’app store

avatar mk3d | 

... « comme de par hasard... »

avatar Korhm | 

Mais du coup, vu que le verrouillage de l’appli n’est pas « immédiat », il ne suffit pas d’ouvrir l’appli de manière classique ?

avatar Osei Tutu | 

Paranoia ambiante. Les psychanalystes ont de beaux jours devant eux

CONNEXION UTILISATEUR