Une faille WhatsApp et Signal permet à des inconnus de vous surveiller
-
Des experts de l’Université de Vienne ont mis au jour une faille dans les messageries WhatsApp et Signal. En analysant les accusés de réception, il devient possible d’observer discrètement l’activité des utilisateurs, sans qu’ils s’en rendent compte.
Cette faille repose sur les accusés de lecture automatiques envoyés dès qu’un message arrive. D’après Gabriel K. Gegenhuber, Maximilian Günther et leurs collègues dans l’étude Careless Whisper, il est possible de déclencher ces accusés avec des messages spécialement conçus, sans que la personne ciblée s’en aperçoive.
Surveiller sans laisser de traces
Ce qui rend cette attaque particulière, c’est qu’elle reste totalement invisible: aucune notification, aucun message n’apparaît sur le smartphone. Les chercheurs ont montré qu’en analysant les temps de réponse, il est possible de savoir quand un utilisateur est actif sur son appareil, quand celui-ci est en veille, et même si l’application de messagerie est ouverte au premier plan.
Par exemple, sur iPhone, ils ont pu différencier un écran actif d’un écran éteint: un temps de réponse d’environ une seconde indiquait un écran actif, tandis qu’un délai de deux secondes correspondait à un écran éteint. Ces informations permettent de dresser un profil d’utilisation précis.
N’importe quel utilisateur peut être ciblé
Autre point préoccupant: il suffit de connaître le numéro de téléphone d’un utilisateur pour le surveiller sur WhatsApp ou Signal. Aucun contact préalable ou conversation existante n’est nécessaire. Les chercheurs distinguent deux types d’attaquants: le «Creepy Companion», déjà en contact avec la victime, et le «Spooky Stranger», totalement inconnu.
La faille permet également de suivre un utilisateur sur plusieurs appareils. Chaque appareil connecté, smartphone, client desktop ou version web, envoie un accusé de réception distinct. Il devient alors possible de savoir quand quelqu’un allume son ordinateur professionnel ou change d’appareil.
Un risque de saturation des ressources
En plus de la surveillance, la faille peut être exploitée pour saturer les ressources des appareils. L’envoi massif de messages invisibles peut fortement affecter le volume de données et la batterie.
Sur WhatsApp, les chercheurs ont atteint un flux de données de 3,7 Mo par seconde, soit 13,3 Go par heure. La consommation de batterie des appareils testés grimpait jusqu’à 18% par heure.
Comment se protéger
L’Université de Vienne propose plusieurs mesures aux plateformes: limiter les accusés de réception aux contacts connus, introduire un délai dans leur envoi et renforcer la validation des messages entrants. Pour les utilisateurs, les mesures de protection restent limitées.
Sur WhatsApp, il est possible, dans les paramètres, sous «Confidentialité» puis «Avancé», d’activer l’option «Bloquer les messages de comptes inconnus». Celle-ci doit empêcher la réception de messages provenant d’expéditeurs inconnus «lorsque leur nombre dépasse un certain seuil», indique WhatsApp. Le service ne précise cependant pas ce seuil. (t-online)
