"Il n’y a pas de problème de sécurité du cryptage" : WhatsApp dément la faille sécuritaire au sein de son application !

Le 12 Juillet 2018, WhatsApp mettait en place l'identification des messages transférés au sein de son application mobile communautaire et, début Août dernier, elle annonçait une extension de support de sa solution Business pour les usagers professionnels tout en rappelant que l'ensemble de son contenu était chiffrés automatiquement de bout en bout... Une fonctionnalité-système apparemment non-infaillible puisque WhatsApp aurait été victime d'une faille importante permettant à un individu malveillant de modifier, d'effacer ou de créer un contenu textuel et de l'envoyer aux contacts de la victime ainsi ciblée ; bref, de créer de fausses informations !

 

 

WhatsApp, pour l'heure, dément l'information mise en lumière par les spécialistes sécuritaires de CheckPoint et soutient avoir "examiné attentivement ce problème qui s'apparente à tenter de modifier un e-mail après son envoi. Il n'y a pas de problème de sécurité du cryptage de l'application, qui permet de s'assurer que seul l'envoyeur et le destinataire peuvent lire leur échange".

Le proof of conept démontre une vulnérabilité au sein du protocol buffers de Google (Protobuf2), un format pour la sérialisation des données. En basculant ces données au format Json, certaines informations sont mises à nues et peuvent permettre :

 

  • L'usage de la fonction "citer" au sein d'un groupe de conversation pour mieux modifier l'identité de l'expéditeur du message et ce, même si la personne en question ne fait pas partie dudit groupe de conversation ;
  • La modification d'une réponse d'un interlocuteur (autre que l'expéditeur), le but étant, ici, de créer un faux contenu ou de faux propos ;
  • L'envoi d'un message privé alors que ce dernier, en fait, est un message publique aux yeux du groupe participant à la conversation.

 

Si l'information est avérée ou confirmée par WhatsApp, la vulnérabilité demeure très grave et pourrait engendrer les déboires malheureusement bien connus par le service mobile qui, entre Mai 2017 et Juin 2018, a essuyé bon nombres de fausses rumeurs véhiculées depuis l'application, en Inde ; une affaire qui avait conduit les habitants d'un village à obtenir justice par eux-mêmes en s'acharnant sur certaines personnes suspectés par ces fakes news... A suivre !

 

Source : CheckPoint.com - 7 Août 2018 - WhatsApp : protobuf2.