Petr Skuta De nombreuses vulnérabilités ont été révélées lors de la conférence sur la sécurité Black Hat en cours. Parmi eux figurent des bugs dans l’application WhatsApp qui permettent aux attaquants de modifier le contenu des messages.
Les failles de WhatsApp peuvent être exploitées de trois manières possibles. Le plus intéressant est lorsque vous modifiez le contenu du message que vous envoyez. En conséquence, le texte que vous n’avez pas réellement écrit sera affiché.
Il pourrait être vous intéresse
Il existe deux options :
- Un attaquant peut utiliser la fonctionnalité « Répondre » dans une discussion de groupe pour confondre l'identité de l'expéditeur du message. Même si la personne en question ne fait pas du tout partie du chat de groupe.
- De plus, il peut remplacer le texte cité par n'importe quel contenu. Il peut ainsi écraser complètement le message original.
Dans le premier cas, il est facile de modifier le texte cité pour donner l’impression que vous l’avez écrit. Dans le second cas, vous ne modifiez pas l'identité de l'expéditeur, mais modifiez simplement le champ contenant le message cité. Le texte peut être complètement réécrit et le nouveau message sera vu par tous les participants au chat.
La vidéo suivante montre tout graphiquement :
Les experts de Check Point ont également trouvé un moyen de mélanger les messages publics et privés. Cependant, Facebook a réussi à résoudre ce problème dans la mise à jour de WhatsApp. A l’inverse, les attaques décrites ci-dessus n’ont pas été corrigées par un je ne peux probablement même pas le réparer. Dans le même temps, la vulnérabilité est connue depuis des années.
L'erreur est difficile à corriger à cause du cryptage
Tout le problème réside dans le cryptage. WhatsApp s'appuie sur le cryptage entre les deux utilisateurs. La vulnérabilité utilise alors une discussion de groupe, où vous pouvez déjà voir les messages décryptés devant vous. Mais Facebook ne peut pas vous voir et ne peut donc pas intervenir.
Les experts ont utilisé la version Web de WhatsApp pour simuler l’attaque. Celui-ci permet d'appairer un ordinateur (navigateur web) à l'aide d'un code QR que vous chargez dans votre smartphone.
Une fois les clés privée et publique liées, un code QR comprenant un paramètre « secret » est généré et envoyé depuis l'application mobile au client web WhatsApp. Pendant que l'utilisateur scanne le code QR, un attaquant peut saisir l'instant et intercepter la communication.
Une fois qu'un attaquant dispose de détails sur une personne, une discussion de groupe, y compris un identifiant unique, il peut, par exemple, modifier l'identité des messages envoyés ou modifier complètement leur contenu. Les autres participants au chat peuvent ainsi être facilement trompés.
Il y a très peu de risques dans les conversations normales entre deux parties. Mais plus la conversation est vaste, plus il est difficile de s’y retrouver et plus il est facile pour une fausse nouvelle de ressembler à la vraie. C'est donc bien d'être prudent.
Il pourrait être vous intéresse
David Hanak Source: 9to5Mac
