Pourqu'oi il faut mettre à jour l’application WhatsApp au plus vite ? S' interrogent certains spécialistes des réseaux sociaux
Les équipes de la plateforme de messagerie instantanée ont récemment découvert une faille majeure, permettant d’espionner un smartphone par le biais d’un simple appel.
Sans même s’en apercevoir, les quelque 1,5 milliard d’utilisateurs de l’application de messagerie instantanée WhatsApp auraient pu voir leur smartphone être passé au peigne fin par un inconnu.
Cela pose problème car une des promesses de WhatsApp en termes de sécurité est d’appliquer le chiffrement de bout en bout.
Cela signifie que le chiffrement – l’action de rendre les messages illisibles sauf pour ceux à qui ils sont destinés – est réalisé entre les téléphones, et que les serveurs qui acheminent le message ne peuvent pas le lire.
Sauf qu’en insérant un nouveau participant à la discussion, les clés de chiffrement lui sont automatiquement transmises et il est possible pour lui de lire les messages envoyés consécutivement à son ajout.
Autrement dit, quiconque dispose d’un accès au serveur de WhatsApp peut s’insérer dans un groupe de discussion. Cela peut être WhatsApp même, par exemple sur ordre d’une autorité, ou des hackeurs ayant réussi à le pirater.
Une entorse à la promesse d’un chiffrement étanche empêchant celui qui possède ou contrôle les serveurs de WhatsApp de lire les messages.
« Si vous construisez un système où tout dépend du serveur, vous pouvez à la limite vous dispenser de toute complexité et oublier le chiffrement de bout à bout », a sévèrement critiqué – toujours dans Wired – Matthew Green, professeur de cryptographie à l’université américaine Johns-Hopkins et référence en la matière.
Un défaut très difficile à exploiter
Il ne s’agit pas d’une vulnérabilité dans le mécanisme de chiffrement de WhatsApp, qui demeure ce qui se fait de mieux en matière de confidentialité dans les messageries grand public.
D’autant plus que l’ajout non désiré d’un participant fait l’objet d’une notification aux utilisateurs, les alertant donc de la présence d’un nouveau participant à leurs échanges.
Même si, selon les chercheurs, il est possible, une fois sur le serveur, de retarder l’envoi de ces messages, ce type d’attaque est très peu discrète et nécessite, en outre, soit d’obtenir la collaboration de WhatsApp, soit d’en pirater les serveurs : autant dire qu’il faut de très gros moyens et que cela ne concerne qu’un tout petit nombre d’utilisateurs.
D’autres messageries sécurisées, notamment Signal et Threema, sont concernées par la trouvaille des chercheurs, mais son exploitation est encore plus complexe que pour Whatsapp.
L’entreprise, contactée par les chercheurs, puis par Wired, ne compte pas remédier à ce défaut de conception. Selon un porte-parole joint par le site spécialisé, cela conduirait à revenir sur une fonctionnalité prisée des utilisateurs de la messagerie, celle de rejoindre un groupe par un lien Internet.
Le porte-parole justifie également la position de WhatsApp par la visibilité d’une telle attaque – l’ajout d’une personne à une discussion groupée est toujours signalée à ses participants. « WhatsApp s’est penchée attentivement sur l’étude.
(…) En clair, les notifications envoyées lorsqu’un nouveau participant rejoint un groupe et les nombreuses façons de vérifier qui s’y trouve rendent impossible l’espionnage invisible des conversations », a expliqué sur Twitter Alex Stamos, le responsable de la sécurité de Facebook, dont fait partie WhatsApp.
NSO Group déjà pointé du doigt
Le Financial Times explique que la faille de sécurité exploitait la fonction d’appel de l’application, qui transite par Internet plutôt que par le réseau mobile classique - et qui permet de passer des appels gratuitement. Toujours selon la même source, n’importe quel smartphone (fonctionnant sous Android ou iOS) aurait pu être touché.
L’entreprise NSO Group est connue pour avoir mis au point le logiciel Pegasus, l’un des plus performants pour espionner un smartphone. Si la firme vend officiellement ce système à de nombreux pays pour la lutte contre le terrorisme, certains Etats sont accusés de l’utiliser pour traquer les dissidents politiques, ou les membres d’ONG. En août 2018, on apprenait qu’Amnesty International avait été visée par Pegasus, poussant l’organisation à engager des actions en justice contre NSO Group ce 13 mai 2019.
Un rapport sur "la responsabilisation des réseaux sociaux", préparé par des fonctionnaires français, a été dévoilé ce 10 mai. Il vient corroborer des propositions déjà formulées par le gouvernement pour "reciviliser Internet".
Gourmand en données personnelles, Facebook reste beaucoup plus réservé dès lors qu'il s'agit d'accéder à ses arcanes. Les cadres gouvernementaux envoyés en mission depuis cinq mois pour observer ses règles de modération semblent en avoir fait les frais. Les résultats de leurs observations ont été dévoilés ce 10 mai sous la forme d'un rapport, à l'occasion d'une rencontre entre Mark Zuckerberg et Emmanuel Macron.
Pour réaliser ce travail, une dizaine d'experts - dont des représentants du Conseil supérieur de l’audiovisuel (CSA) et de l’Arcep, le régulateur des télécoms - ont été envoyés en éclaireurs chez Facebook. En ressort un plaidoyer de la France pour une "responsabilisation" des réseaux sociaux et une plus grande transparence de leur part sur les moyens mis en œuvre pour lutter contre les contenus haineux, sous peine de sanctions financières.
Peu de grain à moudre
Deux passages clés du rapport de 34 pages retiennent l'attention. Ses rédacteurs reconnaissent que Facebook leur a donné peu de grain à moudre. Leurs conclusions, qui ont été remises au secrétaire d’Etat au numérique Cédric O, auraient pu être écrites sans ce partenariat, qui prend une tournure d'opération de communication bilatérale. Le texte souligne ainsi "l'accueil ouvert" de Facebook, tout en regrettant l'impossibilité d'accéder "à une information détaillée, ni à des éléments confidentiels en raison des délais très courts, de l’absence de cadre juridique formel, et des limites de la politique de transparence de la société Facebook".
Comme le révèle le Financial Times, la plateforme appartenant à Facebook vient de corriger une faille de sécurité majeure, permettant à quiconque d’espionner l’ensemble de l’activité d’un mobile, par un simple appel. Et ce même si la victime n’a pas pris le temps d’y répondre.
Selon le média britannique, cette faille a été exploitée par un logiciel conçu par l’entreprise israélienne NSO Group, l’une des firmes les plus avancées en matière de développement de logiciels de surveillance.
Un gouvernement à la manœuvre?
“Certains utilisateurs ont été visés en tirant profit de cette vulnérabilité, par un acteur bénéficiant d’un niveau technologique avancé. L’attaque a tous les attributs d’une action menée par une entreprise privée, susceptible de travailler pour un gouvernement pour espionner l’ensemble de l’activité d’un smartphone”, explique un porte-parole de WhatsApp au site américain Ars Technica.
Un avocat spécialisé dans la défense des droits de l'homme résidant au Royaume-Uni aurait été visé ce dimanche, quelques heures après qu’un correctif de sécurité a été déployé par les équipes de WhatsApp. La tentative de piratage a donc échoué, bien qu’aucune estimation du nombre de victimes n’ait été établie. Une nouvelle mise à jour est disponible depuis ce lundi, qu’il est chaudement recommandé d’installer.
Par ailleurs, les rédacteurs du rapport restent lucides quant à l'impossibilité de vérifier les engagements de Facebook. "Ni les pouvoirs publics, ni la société civile ne savent quelle valeur accorder aux déclarations des réseaux sociaux. Ils partagent, à quelques exceptions près, le même niveau d’information qu’un utilisateur", est-il ainsi mentionné. "L’ensemble des informations rendues publiques par la plateforme concernant son action d’autorégulation ne peut être corroborée par aucun fait observable", tranchent également les auteurs.
Le rapport remis ce 10 mai se distingue néanmoins de la proposition de loi sur un point crucial. Cette dernière, en imposant aux réseaux sociaux de retirer les contenus haineux signalés sous 24 heures, sous peine d’amendes allant jusqu’à 4 % du chiffre d’affaires mondial, s'avère plus répressive et plus proche de la loi allemande. Beaucoup y voient le risque que les réseaux sociaux abusent de la censure pour ne pas avoir à verser de telles sommes, y compris en supprimant des contenus légaux.
A l'arrivée, l'initiative entreprise par le gouvernement s'apparente à un exercice d'équilibriste: modérer les réseaux sociaux sans basculer dans la censure ni tuer leur capacité d'innovation. La perspective de la solution miracle s'est définitivement envolée.
Une régulation plus souple
A partir des observations qu'ils ont pu réaliser, les rédacteurs du rapport avancent la nécessité d'une régulation fine, loin du tout-répressif parfois envisagé par certains responsables politiques. Une régulation qu'ils souhaitent voir confiée à une autorité administrative indépendante, dont la nature reste à déterminer.
Pour le reste, le texte rejoint des propositions déjà formulées par le passé. En septembre dernier, un rapport de vingt propositions sur la lutte contre la haine sur internet, commandé par Matignon, a été remis par la députée Laetitia Avia (LaREM). Il a depuis été traduit en proposition de loi contre la cyberhaine. Cette dernière, qui ambitionne de mieux faire le ménage dans les images, vidéos ou commentaires dégradants diffusés sur les réseaux sociaux, devrait être votée avant l'été.
Commentaires