Une faille de sécurité permet de contourner l’identification Face ID/Touch ID de WhatsApp
WhatsApp a un gros souci de sécurité avec Touch ID et Face ID. Une mise à jour récente de l’application de messagerie instantanée permet de protéger l’accès à l’app avec les outils biométriques des appareils iOS. Sauf qu’une petite manipulation permet de contourner très facilement cette sécurité.
Le malandrin doit passer par la feuille de partage d’iOS, via Photos par exemple. Dans le panneau de partage, il suffit de sélectionner l’option WhatsApp pour atterrir directement dans le menu de sélection de la discussion de l’application, sans avoir besoin de s’identifier. En quittant Photos (ou l’app à l’origine du partage), il est ensuite possible d’accéder à WhatsApp, là aussi sans authentification préalable.
Cette bidouille toute simple ne fonctionne qu’à deux conditions : d’une part, le malfrat doit avoir l’appareil déverrouillé de sa victime en main. D’autre part, l’activation Face ID/Touch ID dans WhatsApp ne doit pas être configurée sur immédiatement (l’app propose le déverrouillage biométrique après 1 ou 15 minutes, ou encore au bout d’une heure).
Facebook est au courant de la brèche, apparue sur Reddit. Pour s’en prémunir en attendant la mise à jour de sécurité promise par le réseau social, il faut configurer l’identification biométrique sur immédiatement : l’app demandera alors systématiquement une authentification à chaque ouverture.
Cette faille a été comblée dans la version bêta de Whatsapp.
WhatsApp a déjà beaucoup de problèmes de sécurité ??? mais bon comme tout le monde l’utilise ils s’en foutent
-> go chez Signal.
@Sacha12
« -> go chez Signal. »
Ben oui, mais c’est pas si simple...
@Bigdidou
Avec un peu de bonne volonté, si, c’est possible
@Dark-mac
« Avec un peu de bonne volonté, si, c’est possible »
C’est quand même tes correspondants qui décident, au final.
@Bigdidou
C’est vrai, mais en leur expliquant clairement les problèmes au bout d’un moment ils finiront par migrer vers Signal
"C’est quand même tes correspondants qui décident, au final."
S'ils t'imposes le moyen de communiquer avec eux, c'est que t'as vraiment très peu d'importance pour eux...
Change de correspondants parce que les soucis que tu peux/ne veux pas avoir ils en ont rien à foutre pendant que tu te soumets à leur 4 volontés.
@coucou
« S'ils t'imposes le moyen de communiquer avec eux, c'est que t'as vraiment très peu d'importance pour eux... »
N’importe quoi.
Tu n’as pas l’impression de penser à l’envers ?
@Dark-mac
J’étais sur telegram avant mais convertir une foule d’utilisateurs c’est la mère à boire... j’ai réussi à en convaincre 4 et le reste que dal ça préfèrent rester sur messenger et whatsapp j’ai beau expliqué les gens s’en tapent donc bon si je veux avoir accès aux discutions de groupe bien obligé de suivre...
@alexis83
Oui c’est sûr, après évidement ça dépend des personnes que vous connaissez, certaines seront plus réceptives que d’autres
@Dark-mac
Même les personnes réceptives et qui comprennent au final ce sera un « arf tant pis » pour globaliser. Sans apporter de réponse ce serait pratique d’avoir un hub pour les différentes messageries comme j’avais sur BlackBerry pour éviter de jongler entre plusieurs app...
Mouais....
J’ai tenté signal : 6 contacts, TOUS sur WhatsApp
24 sur telegram, une poignée pas sur WhatsApp
Sur WhatsApp j’en ai 299
A quoi sert signal vs telegram en crypté ?
Il me semble que c’est le même protocol (whisper)
Et le cryptage de WhatsApp n’est pas fiable ?
@moua
Le pb n’est pas dans le transport: même protocole “Signal”
Qui sécurise les messages..
Mais dans l’App, FB pourrait très bien utiliser le contenu des messages qui sont alors en en clair ( faut bien déchiffrer pour afficher),
Et surtout FB utilises/ monétise déjà les Meta données: qui parles à qui, quand , d’où,...
Je vois pas l’interêt de définir sur autre chose qu’immédiatement ..
Et voilà pourquoi il aurait mieux fallu que le déverrouillage par TouchID/FaceID à l'activation d'une app soit géré par iOS lui même, comme cela l'est sous Android, plutôt que laisser au bon (ou mauvais) loisir du développeur l'implémentant parfois n'importe comment dans son application et uniquement la sienne...
@byte_order
Ça voudrait dire que l’on pourrait potentiellement l’activer sur toutes les app?
Ça y est c’est déjà corrigé, MAJ dans l’app store
... « comme de par hasard... »
Mais du coup, vu que le verrouillage de l’appli n’est pas « immédiat », il ne suffit pas d’ouvrir l’appli de manière classique ?
Paranoia ambiante. Les psychanalystes ont de beaux jours devant eux