Whatsapp : la suppression des archives laisserait à désirer Sécurité :Le chercheur Jonathan Zdziarski alerte les utilisateurs sur la suppression des données de conversation conservées par Whatsapp. La fonction de suppression laisse en effet de nombreuses traces sur le disque dur de la machine, permettant à un utilisateur expert de récupérer les échanges.
Supprimer complètement les données laissées par une application est souvent plus compliqué que cela en a l’air. C’était déjà quelque chose de connu sur le monde du desktop, mais il semblerait que Whatsapp souffre de mêmes défauts. Selon le chercheur Jonathan Zdziarski, l’application de messagerie laisserait en effet de nombreuses traces sur la machine permettant de récupérer des conversations supprimées par l’utilisateur.
Dans un post de blog,l’expert en inforensique des produits Apple se penche donc sur le cas de Whatsapp et explique que la fonction de suppression des anciens messages ne procède pas à un effacement complet des données sur le disque. Whatsapp a recours au système de base de données SQLite et par défaut, celui-ci ne supprime pas entièrement le contenu de la base de données lors d’un effacement.
Dans un souci d’optimisation, Whatsapp se contente de déplacer le contenu des bases vers un emplacement de mémoire « libre » : lorsque l’application a besoin d’inscrire de nouvelles informations ou données, elle peut par la suite librement puiser dans cet espace libre pour y inscrire de nouvelles conversations. Mais tant que l’utilisateur n’a pas procédé l’enregistrement de nouvelles données (conversations, contacts, etc.) par-dessus, les anciennes informations pourtant supprimées de Whatsapp peuvent être accessible pour un utilisateur ayant mis la main sur le téléphone.
Un comportement bien connu
Faille de sécurité ? Difficile à dire tant ce comportement est aujourd’hui connu et présent sur un grand nombre de systèmes. On le retrouve dans un grand nombre d’application, de téléphones et de support de stockage, quel que soit l’OS utilisé. Il est d’ailleurs fréquent de voir des entreprises profiter de ce comportement pour alerter sur la fuite de donnée potentielle. C’est ainsi le cas pour la réinitialisation d’un téléphone aux paramètres d’usine : cette option efface bien les données, mais celles-ci restent accessibles sur le disque tant que la mémoire n’a pas été réallouée pour de nouvelles applications et pour inscrire de nouvelles données. Zdziarski explique ainsi que iMessage procède de la même manière, mais que Signal ne laisse en revanche aucune trace.
Un comportement globalement courant, mais qui, dans le cas de Whatsapp, pourrait bien poser quelques problèmes selon Zdziarski. « Le simple fait de préserver les données sur le disque n’est généralement pas perçu comme un problème, mais quand les données sont aussi facilement accessibles que celles stockées dans la base de données de Whatsapp, cela pose un vrai problème de vie privée » écrit le chercheur. Celle-ci pourrait jouer de mauvaise surprise à un utilisateur qui pense avoir effacé tous les messages de son téléphone, puisqu’un attaquant pourrait avoir recours à la méthode pour les récupérer. La méthode demande néanmoins que l’attaquant ait accès au téléphone.
Zdziarski conseille à ceux qui souhaiteraient s’assurer que des messages ont bien été supprimés de désinstaller puis de réinstaller entièrement l’application pour s’assurer que les messages ont bien été supprimés. Il alerte néanmoins sur le fait qu’un attaquant ayant accès aux backups de l’appareil stockés automatiquement dans iCloud pourrait néanmoins avoir accès aux données, et conseille de prendre toutes les précautions nécessaires afin de s’assurer de la sécurité de ces backups.
Dans un post de blog,l’expert en inforensique des produits Apple se penche donc sur le cas de Whatsapp et explique que la fonction de suppression des anciens messages ne procède pas à un effacement complet des données sur le disque. Whatsapp a recours au système de base de données SQLite et par défaut, celui-ci ne supprime pas entièrement le contenu de la base de données lors d’un effacement.
Dans un souci d’optimisation, Whatsapp se contente de déplacer le contenu des bases vers un emplacement de mémoire « libre » : lorsque l’application a besoin d’inscrire de nouvelles informations ou données, elle peut par la suite librement puiser dans cet espace libre pour y inscrire de nouvelles conversations. Mais tant que l’utilisateur n’a pas procédé l’enregistrement de nouvelles données (conversations, contacts, etc.) par-dessus, les anciennes informations pourtant supprimées de Whatsapp peuvent être accessible pour un utilisateur ayant mis la main sur le téléphone.
Un comportement bien connu
Faille de sécurité ? Difficile à dire tant ce comportement est aujourd’hui connu et présent sur un grand nombre de systèmes. On le retrouve dans un grand nombre d’application, de téléphones et de support de stockage, quel que soit l’OS utilisé. Il est d’ailleurs fréquent de voir des entreprises profiter de ce comportement pour alerter sur la fuite de donnée potentielle. C’est ainsi le cas pour la réinitialisation d’un téléphone aux paramètres d’usine : cette option efface bien les données, mais celles-ci restent accessibles sur le disque tant que la mémoire n’a pas été réallouée pour de nouvelles applications et pour inscrire de nouvelles données. Zdziarski explique ainsi que iMessage procède de la même manière, mais que Signal ne laisse en revanche aucune trace.
Un comportement globalement courant, mais qui, dans le cas de Whatsapp, pourrait bien poser quelques problèmes selon Zdziarski. « Le simple fait de préserver les données sur le disque n’est généralement pas perçu comme un problème, mais quand les données sont aussi facilement accessibles que celles stockées dans la base de données de Whatsapp, cela pose un vrai problème de vie privée » écrit le chercheur. Celle-ci pourrait jouer de mauvaise surprise à un utilisateur qui pense avoir effacé tous les messages de son téléphone, puisqu’un attaquant pourrait avoir recours à la méthode pour les récupérer. La méthode demande néanmoins que l’attaquant ait accès au téléphone.
Zdziarski conseille à ceux qui souhaiteraient s’assurer que des messages ont bien été supprimés de désinstaller puis de réinstaller entièrement l’application pour s’assurer que les messages ont bien été supprimés. Il alerte néanmoins sur le fait qu’un attaquant ayant accès aux backups de l’appareil stockés automatiquement dans iCloud pourrait néanmoins avoir accès aux données, et conseille de prendre toutes les précautions nécessaires afin de s’assurer de la sécurité de ces backups.
Commentaires