Si vous utilisez WhatsApp sous Android, sachez que la totalité de vos échanges peut, dans certains cas, être siphonnée par des applications tierces. C’est ce que vient de montrer l’informaticien hollandais Bas Bosschert. Dans une note de blog, il explique que WhatsApp dispose d’une option de sauvegarde qui, quand elle est activée, sauvegarde tous les messages sur la carte SD du smartphone sous la forme d’un fichier crypté. Le hic, c’est que les applications Android peuvent avoir le droit d’accéder sur l’espace de stockage de cette carte et, le cas échéant, s’emparer de ce fichier.
Bas Bosschert le prouve en réalisant une fausse application qui, dotée de ce privilège d’accès, copie le fichier de sauvegarde sur un serveur Internet sans que l’utilisateur ne se rende compte de rien. Une fois en possession de ce fichier, l’informaticien applique ensuite un logiciel baptisé WhatsApp Xtract, qui permet de casser le cryptage. Et le tour est joué : on peut lire tous les messages.
WhatsApp a modifié son algorithme de chiffrement
Cette preuve de faisabilité a néanmoins provoqué une certaine polémique. Ainsi, le blogueur allemand René Hesse estime que cette méthode ne s’applique pas aux dernières versions de WhatsApp, qui utilise une méthode de chiffrement plus efficace (.crypt5) ne permettant pas d’utiliser le logiciel WhatsApp Xtract. Le « proof of concept » de Bas Bosschert ne serait donc valable que pour les anciennes versions de cette messagerie. Toutefois, les développeurs de TiFlo Software, éditeur de l’application « Chat Statistics for WhatsApp », soutiennent qu’ils ont trouvé un moyen pour contourner ce nouvel algorithme de chiffrement pour créer leurs graphiques statistiques. Evidemment, ils ne comptent pas dévoiler le « hack » qu’ils utilisent. Mais cela prouve que la faille des fichiers de sauvegarde est toujours présente.
Ce qu’il faut retenir de tout ceci est que les sauvegardes réalisées par WhatsApp ne sont pas d’une sécurité à toute épreuve. Les paranoïaques d’entre vous ont donc intérêt à désactiver cette option. Par ailleurs, il est recommandé de toujours inspecter en détail les privilèges d’accès d’une application mobile. Et quand c’est louche, ne pas l’installer…
Lire aussi :
Panne mondiale de WhatsApp : les services rétablis, le 22/02/2014
Les 5 raisons pour lesquelles WhatsApp vaut bien 19 milliards de dollars, le 20/02/2014
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
