Quel est le principe ?

WhatsApp a introduit un cryptage des données de bout en bout, avec l’aide de logiciels fournis par Open Whisper Systems, une organisation à but non lucratif spécialisée dans la cybersécurité. Ce système était disponible dès 2014 pour les messages textuels entre deux utilisateurs mais les messages groupés ou ceux assortis de photos ou de vidéos en étaient exclus.

En clair, à partir du moment où les interlocuteurs possèdent la dernière version de l’application, seul l’expéditeur et le destinataire peuvent lire les messages. « Le chiffrement de bout en bout de WhatsApp garantit que seuls vous et la personne avec qui vous communiquez pouvez lire ce qui est envoyé », écrivait WhatsApp en avril dernier.

« Personne, que ce soit des cyber-délinquants, des hackers, des régimes totalitaires, même pas nous », assure WhatsApp

Les messages sont, en version imagée, protégés par un cadenas, dont seuls les destinataires ont la clé. Le réseau social, s’il stocke toujours les données, n’a en théorie aucun moyen d’y accéder et de lire les messages, même si la justice le lui ordonne. « Personne d’autre ne peut lire le message en question », détaille WhatsApp. « Personne, que ce soit des cyber-délinquants, des hackers, des régimes totalitaires, même pas nous ».

Si le contenu des messages demeurent secret, l’existence de la correspondance ne l’est en revanche aucunement. « WhatsApp se réserve le droit de conserver la date et l’heure des informations associées aux messages envoyés, les numéros de téléphone mobile impliqués dans les messages, ainsi que toute autre information que WhatsApp est légalement obligé de conserver », explique la marque.

Y a-t-il une faille ?

À toute serrure, sa possibilité d’être crochetée. Dans le cas de WhatsApp, la faille viendrait du réseau de signalisation appelé SS7. Ce protocole est utilisé par presque tous les opérateurs mondiaux pour établir et gérer les communications cellulaires. Or, WhatsApp en est dépendante puisque qu’elle utilise un système d’authentification par SMS.

Pointé du doigt depuis 2014, le protocole SS7 permettrait notamment aux agences de renseignement de s’immiscer dans les communications privées, comme le suggéraient certains documents soustraits à la NSA par Edward Snowden. Des chercheurs en sécurité informatique ont d’ailleurs prouvé que la vulnérabilité du SS7 pourrait permettre à des hackers de rendre le cryptage de WhatsApp inutile.

Les agences de renseignement n’auront aucun mal à contourner le cryptage

En exploitant la faille, un hacker pourrait faire croire au réseau que son téléphone est le même que celui de sa cible. Il est ensuite en mesure  de recevoir le code secret permettant d’authentifier son smartphone et de prendre le contrôle du compte de la victime.

À partir de ce moment, le hacker pourra envoyer des messages aux interlocuteurs en se faisant passer pour quelqu’un d’autre. Une aubaine pour les espions en tout genre, bien qu’elle soit limitée : l’usurpateur n’a en théorie pas accès aux historiques de messages, WhatsApp ne les stockant pas dans ses serveurs. Pour le moment, le protocole SS7 n’a pas encore trouvé son successeur, même si selon les spécialistes, ce dernier serait en préparation.

La description, un peu technique, de l’usurpation d’identité sur WhatsApp

https://www.youtube.com/watch?v=fDJ-88e_06A