Table of Contents
Depuis plusieurs semaines, une controverse secoue le monde de la messagerie instantanée : un journaliste s’est retrouvé accidentellement ajouté à un groupe de hauts responsables de la Maison-Blanche évoquant des plans de frappes militaires. Cette faille, due à une erreur humaine, soulève une question plus large : que se passerait-il si une personne disposant d’un contrôle ou piratant la plateforme de messagerie pouvait ajouter des membres sans que personne ne s’en aperçoive ? Avec WhatsApp, l’application de Meta réputée pour son chiffrement de bout en bout, la réponse est malheureusement oui.
Une analyse approfondie de la sécurité de WhatsApp
Un groupe de chercheurs a récemment publié une étude formelle sur la messagerie de groupe dans WhatsApp. En rétroconcevant l’application et en décrivant ses protocoles cryptographiques, ils ont confirmé que WhatsApp assure globalement un haut niveau de sécurité conforme à ce qui est annoncé. Cette étude, disponible publiquement, offre une vision détaillée des garanties offertes par la messagerie.
Malgré ce constat positif, un point crucial a attiré leur attention : contrairement à Signal, autre messagerie sécurisée, WhatsApp ne propose aucun mécanisme cryptographique pour la gestion des groupes. Cela signifie que la gestion des membres du groupe n’est pas sécurisée par chiffrement et repose uniquement sur la confiance vis-à-vis du serveur.
Une faille de sécurité majeure dans la gestion des groupes
Martin R. Albrecht, chercheur au King’s College de Londres, explique : « Il est possible pour le serveur WhatsApp d’ajouter de nouveaux membres à un groupe. Le client officiel affichera cette modification, mais ne l’empêchera pas. Par conséquent, tout groupe ne vérifiant pas l’identité des nouveaux membres peut voir ses messages lus par des personnes non autorisées. »
Concrètement, cette faille peut passer inaperçue, surtout dans les groupes rassemblant des dizaines voire des centaines de participants où les notifications d’ajout de membre sont peu visibles.
Quel risque pour les utilisateurs et les groupes sensibles ?
Cette vulnérabilité est peu susceptible d’être exploitée dans des contextes anodins, par exemple un groupe de parents d’élèves. En revanche, elle représente une menace réelle dans des environnements sensibles tels que les discussions entre responsables gouvernementaux ou experts en sécurité nationale.
Un administrateur WhatsApp disposant des droits nécessaires ou un pirate ayant compromis l’infrastructure de WhatsApp pourrait ajouter discrètement plusieurs utilisateurs à un groupe existant. Ainsi, des conversations sensibles pourraient être interceptées sans que les membres légitimes du groupe ne s’en rendent compte.