Pourquoi WhatsApp ne sera jamais sécurisé

Espionnage-595x240

Le monde semble choqué par le fait que WhatsApp a transformé tout téléphone en logiciel espion. Tout sur votre téléphone, y compris les photos, les courriels et les textes, était accessible aux attaquants simplement parce que vous aviez WhatsApp installé. Explication de Pavel Durov, fondateur de la messagerie Telegram.

L’année dernière, WhatsApp a dû reconnaître que son problème était très similaire: un simple appel vidéo était tout ce dont un pirate avait besoin pour accéder à l’intégralité des données de votre téléphone [1] .

Chaque fois que WhatsApp doit corriger une vulnérabilité critique dans son application, une nouvelle semble apparaître à sa place. Tous leurs problèmes de sécurité conviennent parfaitement à la surveillance, et ressemblent beaucoup à des portes dérobées (backdoor).

Un chercheur en sécurité ne peut pas vérifier le code source de Whatsapp. Contrôler s’il y a des portes dérobées dans son code. WhatsApp ne publie pas son code source. Ils font exactement le contraire: WhatsApp masque délibérément les fichiers binaires pour s’assurer que personne ne soit en mesure de les étudier.

WhatsApp et sa société mère Facebook peuvent même être amenés à implémenter des backdoors – via des processus secrets tels que ceux réclamés par le FBI [3]. Il n’est pas facile de lancer une application de communication aux États-Unis. Une semaine aux États-Unis, en 2016, a valu 3 tentatives d’infiltration du matériel d’employés de Telegram par le FBI [4] [5] .

Imaginez ce que 10 années dans cet environnement peuvent entraîner pour une société aux États-Unis.

Telegram

Backdoor

Je comprends que les agences de sécurité justifient d’installer des portes dérobées pour combattre le terrorisme, les pédophiles, les professionnels de la déstabilisation. Le problème ? Criminels et gouvernements autoritaires peuvent s’y pencher aussi. Il n’est pas étonnant que les dictateurs semblent aimer WhatsApp.

Son manque de sécurité leur permet d’espionner leur propre peuple. Voilà pourquoi WhatsApp continue d’être librement disponible dans des pays comme la Russie ou l’Iran. Pour rappel,  Telegram y est interdit par les autorités [6]. Au Sri Lanka, après les attentats du 21 avril, les réseaux sociaux mis hors-services [6b].

Telegram en réponse directe à la pression personnelle exercée par les autorités russes. À cette époque, en 2012, WhatsApp transférait encore des messages en texte brut. Non seulement les gouvernements ou les pirates, mais aussi les opérateurs de téléphonie mobile et les administrateurs wifi avaient accès à tous les textes WhatsApp [7] [8] .

Plus tard, WhatsApp a ajouté un chiffrement, qui s’est rapidement révélé être un stratagème marketing: la clé pour déchiffrer les messages était disponible pour au moins plusieurs gouvernements… y compris la Russie [9].

Chiffrement

Il y a 3 ans, WhatsApp a annoncé la mise en œuvre d’un chiffrement de bout en bout.

Cela coïncide avec une demande insistante pour sauvegarder les discussions dans le « cloud ». Lors de cette opération, WhatsApp n’explique pas à ses utilisateurs que, lors de la sauvegarde, les messages n’ont plu de chiffrement de bout en bout. Ils deviennent accessibles aux pirates et aux espions.

Les personnes suffisamment résilientes pour ne pas craquer face aux fenêtres permanentes leur demandant de sauvegarder leurs discussions dans « Le Nuage » peuvent toujours être identifiées via un certain nombre d’astuces : l’accès aux sauvegardes de leurs contacts aux modifications de clé de chiffrement invisibles [9b] .

Les métadonnées générées par les utilisateurs de WhatsApp.

Les journaux décrivant les identités des personnes en discussions [10] . En plus de cela, vous avez un mélange de vulnérabilités critiques qui se succèdent.

L’année dernière, les fondateurs de WhatsApp ont quitté la société en raison d’inquiétudes concernant la confidentialité des utilisateurs [15].

Définitivement liés par un silence contractuel. Ils ne peuvent pas discuter en coulisses sans risquer de perdre leur fortune et leur liberté. Ils ont admis, cependant, qu’ »ils avaient vendu la vie privée de leurs utilisateurs » [16] . (Merci à Yousse)

Facebook Messenger bientôt écouté ?

Aux Etats-Unis, les autorités veulent écouter les appels sur Messenger. Mais Facebook s'y oppose.
Aux Etats-Unis, les autorités veulent écouter les appels sur Messenger. Mais Facebook s’y oppose.

Une bataille juridique s’engage aux Etats-Unis. D’un côté, le ministère américain de la justice, qui souhaite pouvoir surveiller les appels des utilisateurs de Messenger. De l’autre, Facebook, qui s’y oppose et qui affirme que ces appels sont cryptés de bout en bout.

Selon les informations de Reuters, le gouvernement américain veut pouvoir accéder aux échanges vocauxréalisés sur Messenger. Il a donc demandé à Facebook de lui fournir les clés du cryptage de son application de messagerie. Les enquêteurs du DOJ souhaitent surveiller les appels passés sur Messenger par des membres du gang Mara Salvatrucha 13, qu’ils veulent mettre sur écoute.

Face à cette demande, Facebook avance des arguments techniques. L’enjeu est de défendre le cryptage de bout-en-bout de son application. Les clés de chiffrement sont stockées en local, sur les appareils mobiles des utilisateurs, et il est donc impossible de les livrer aux enquêteurs du ministère de la justice.

L’issue du bras de fer est importante pour préciser le statut aux Etats-Unis de ces messageries instantanées comme Messenger, WhatsApp, Hangouts et autres. Jusqu’à présent, elles ne peuvent pas être mises sur écoute par les autorités américaines. Si Facebook n’obtient pas gain de cause, cela pourrait marquer la fin du chiffrement de bout en bout sur ces applications.

Source : CCM

Zuckerberg désolé, Facebook renforcé

Le PDG était auditionné par les élus américains sur les scandales touchant Facebook. Rien de tel n’est prévu à Bruxelles.

Cinq heures mardi devant le sénat américain. Quatre heures de plus devant la chambre des représentants mercredi à Washington. Mais pas une minute à Bruxelles. Mark Zuckerberg a passé cette semaine à s’excuser et à donner des gages de bonne volonté aux hommes politiques d’outre-Atlantique pour tenter d’éteindre le feu qui gagne la maison Facebook et ses deux milliards d’utilisateurs. L’Europe, elle, attendra. Même si 2,7 millions de ses citoyens sont concernés par le plus grand scandale de la courte histoire du réseau social. Les données des profils de 87 millions d’internautes ont été aspirées, à leur insu, par l’entreprise Cambridge Analytica pour alimenter la campagne de Donald Trump en 2016.

Quatorze ans à s’excuser

Le dirigeant trentenaire est aujourd’hui sommé de s’expliquer sur cette affaire, mais aussi sur tous les autres problèmes survenus ces derniers mois. « Nous n’avons pas fait assez (…) Cela va des fake news, de l’interférence étrangère dans le processus électoral à l’incitation à la haine, tout comme aux données concernant la vie privée. C’est mon erreur et j’en suis désolé », a-t-il récité par coeur à deux reprises.

Il a ensuite fait la liste des mesures déjà prises et d’autres à venir afin d’éviter que de tels problèmes ne se reproduisent. Une sénatrice a fait remarquer que Facebook s’était très souvent excusé tout au long de ces quatorze dernières années. Un de ses collègues a demandé le nom de l’hôtel dans lequel séjournait le PDG et à qui il avait adressé des messages ces derniers jours et s’est heurté à un refus catégorique. « Je pense que c’est pourtant le sujet qui nous préoccupe. Votre droit à la vie privée », a répondu l’édile. Ambiance.

La France, l’Allemagne, le Royaume-Uni, concernés

Mark Zuckerberg a dû également s’expliquer sur la vente illégale de médicaments sur son réseau ou les moyens d’y lutter contre le terrorisme et a reconnu avoir été lui-même la victime du vol de ses informations personnelles. Toutes ces heures de débats, les citoyens européens auraient sans doute apprécié d’en bénéficier aussi. Le parlement britannique a déjà essuyé un refus. La France aurait pu faire la même demande, elle qui n’a pas été épargnée par les derniers grands scandales frappant aujourd’hui Facebook.

Dans son document remis au sénat américain, son patron souligne qu’au moment de l’élection présidentielle française, l’an dernier, 30 000 faux comptes ont été trouvés et fermés par sa société dans l’Hexagone. L’entreprise Cambridge Analytica et son application This is your digital life ont exploité les données de 87 millions de personnes, mais soixante-seize Français seulement auraient installée l’application.

Pour autant, jusqu’à 211 591 de leurs amis seraient concernés. Moins qu’au Royaume-Uni (plus d’un million de personnes) ou en l’Allemagne (310 000), mais plus qu’en Belgique (61 000). Paradoxalement, l’Europe, ce grand absent des débats, n’aura sans doute jamais été aussi souvent pris en exemple par les élus américains. Quitte à susciter des rires narquois dans l’assistance.

Le maître des données

Car cette affaire survient à la veille de l’entrée en vigueur de la mise en oeuvre du Règlement général sur la protection des données (RGPD) sur le Vieux Continent, le 25 mai prochain. Un texte destiné à défendre les citoyens sur la collecte, le stockage, la circulation et la suppression de leurs informations personnelles. Cette loi va également permettre de sanctionner les contrevenants, qui pourront payer jusqu’à 20 millions d’euros d’amende, et une enquête vient d’être ouverte par les autorités européennes, menée par l’Irlande et l’Angleterre. « Le monde entier va regarder comment l’Europe va se coordonner pour sanctionner Facebook, indique Etienne Drouard, associé au cabinet d’avocats K&L Gates. Ce sera le premier test, une occasion unique, pour les pays de l’Union. »

Interrogé à ce sujet, Mark Zuckerberg a estimé que Bruxelles « avait bien fait les choses » et qu’il n’était pas opposé à une approche similaire aux Etats-Unis, sans rien promettre toutefois. En attendant le vote d’une loi américaine plus contraignante sur les données personnelles, Facebook applique déjà des mesures qui pourraient, comme le souligne Etienne Drouard, accroître son pouvoir: « Afin d’éviter de revivre l’épisode Cambridge Analytica, Facebook est en train de réduire le volume d’informations qu’il partageait jusqu’ici avec des entreprises tierces, notamment avec des sociétés de ciblage marketing comme Axciom. Le service aspirera donc toutes les données et ne régurgitera plus rien. Du coup, Facebook sera le seul à savoir à qui adresser un message publicitaire, à quel moment et pour qui ». Finalement, « Zuck » et sa création pourraient sortir de cette crise plus forts que jamais.

Attention au malware Faketoken

Ce malware de l’année dernière refait surface, pour s’attaquer aux données bancaires sur mobile.

(CCM) — Les experts de Kaspersky alertent les mobinautes du retour de Faketoken, le virus qui vole les données bancaires. L’éditeur de solutions de sécurité informatique explique sur son blog (lien en anglais) comment ce malware de l’année dernière à pu réapparaître dans ses radars de détection des risques.

Mis à jour, le chevshutterstock-177915332-mama-mia-2882 (1)al de Troie utilise de nouvelles techniques perfectionnées pour tromper ses victimes. Automatiquement, il est capable de se brancher sur des applis marchandes parmi les plus populaires (taxis, hôtels, banques…) pour les imiter à la perfection et récupérer les informations de paiement confidentielles des utilisateurs pris au piège.

Pour installer Faketoken sur les mobiles, les hackers utilisent tout simplement de faux liens de téléchargement de photos envoyés par SMS. Jusqu’à maintenant, cette méthode a été particulièrement efficace pour prendre le contrôle de très nombreux smartphones en installant un virus. Une fois en place, le malware Faketoken est capable de tout savoir des applis les plus utilisées du propriétaire. Il peut alors en copier l’interface et intercepter les échanges d’informations, notamment les précieuses données bancaires du propriétaire.

Selon Kaspersky, la diffusion de Faketoken est pour le moment limitée à la Russie. Avant son arrivée ici, il est toujours temps de mettre à jour son antivirus pour mobile.

Un virus repéré sur Facebook Messenger

stock-291101339-sebastien-coell-6113
Facebook Messenger

Derrière un faux fichier vidéo, c’est un virus qui se répand à travers Facebook Messenger.

(CCM) — Mieux vaut y regarder à deux fois avant de cliquer sur une vidéo reçue sur Facebook Messenger. Ce conseil de prudence est valable en permanence, mais avec la récente alerte lancée par Kaspersky, il est encore plus d’actualité.

Un malware se propage actuellement sur Facebook Messenger en prenant l’apparence d’un message vidéo. Derrière, se cache un virus par injection de code Javascript qui s’installe dès que l’utilisateur clique sur le fichier vidéo. Cela permet au hacker de scanner le navigateur web, le système d’exploitation et d’autres éléments de la machine en cours d’utilisation. A partir de ces informations, les pirates peuvent rediriger la victime vers les sites web de leur choix, pour du phishing, de la fraude publicitaire et autres attaques du même genre…

Selon David Jacoky de Kaspersky Labs (compte Twitter en anglais) , c’est bien le service de chat en ligne de Facebook qui est spécifiquement ciblé par ce nouveau virus. La technique et le mode opératoire utilisés n’ont apparemment rien de révolutionnaire. Mais les pirates misent sur la vitesse de propagation extrêmement rapide que permet Messenger pour faire le maximum de victimes avant que les utilisateurs soient informés du risque. Une nouvelle fois, la vigilance doit être de rigueur sur Facebook Messenger, et une rapide mise à jour de logiciel antivirus ne pourra jamais faire de mal…