• Les chercheurs ont découvert plusieurs vulnérabilités WhatsApp lors de la conférence Black Hat 2019.
• Les vulnérabilités permettent aux mauvais acteurs de manipuler les discussions.
• Facebook n'a pas de solution pour les vulnérabilités.

Les récentes failles de sécurité de WhatsApp permettent aux mauvais acteurs d’empocher les chats et de leur donner l’impression qu’ils viennent de vous, a rapporté Check Point Research hier. Check Point Research a annoncé ses conclusions lors de la conférence sur la sécurité Black Hat 2019.

Selon les chercheurs, il y avait trois façons d'exploiter les vulnérabilités:

1. Utilisez la fonction "devis" dans une conversation de groupe pour changer l'identité de l'expéditeur, même si cette personne n'est pas membre du groupe.
2. Modifiez le texte de la réponse d’une autre personne, en mettant essentiellement des mots dans sa bouche.
3. Envoyez un participant privé à un autre groupe déguisé en public pour tous. Ainsi, lorsque la personne ciblée répond, elle est visible par tous les participants à la conversation.

Check Point a informé WhatsApp des vulnérabilités en août 2018. WhatsApp a ensuite corrigé la troisième méthode. Cependant, les chercheurs ont découvert qu’il était encore possible de manipuler les citations et de les usurper. Check Point a utilisé son extension Burp Suit pour casser le cryptage de bout en bout de WhatsApp et déchiffrer les discussions. L'élément exploitable ici est la version Web de WhatsApp, qui utilise des codes QR pour apparier votre téléphone.

Check Point a d'abord obtenu la paire de clés publique et privée créée avant que WhatsApp génère un code QR. Combinée au paramètre «secret» envoyé par votre téléphone au client Web WhatsApp lorsque vous scannez le code QR, Burp Suit Extension facilite la surveillance et le déchiffrement de vos contenus.

Un porte-parole de Facebook a fourni la déclaration suivante à Le prochain Web:

Nous avons soigneusement examiné ce problème il y a un an et il est faux de laisser entendre que la sécurité fournie par WhatsApp est vulnérable. Le scénario décrit ici est simplement l’équivalent mobile de la modification des réponses dans un fil de discussion pour donner l’impression que quelque chose n’a pas été écrit par une personne. Nous devons être conscients que répondre aux préoccupations de ces chercheurs pourrait rendre WhatsApp moins confidentiel - comme le stockage d'informations sur l'origine du s.

Malheureusement, la société ne semble pas avoir de solution aux vulnérabilités de WhatApp. Le service de messagerie utilisant un cryptage de bout en bout, Facebook ne peut pas accéder aux versions décryptées de s. Cela signifie que Facebook ne peut pas intervenir si de mauvais acteurs exploitent les vulnérabilités susmentionnées.