Toutes vos informations WhatsApp sont en danger, cette faille de sécurité est critique
Une vulnérabilité découverte dans l'application WhatsApp fait craindre pour la confidentialité des données qu'elle contient. Les informations de tous les utilisateurs sont potentiellement en danger.
La messagerie instantanée WhatsApp, c'est environ 5 milliards de téléchargements pour 2,4 milliards d’utilisateurs à travers le monde. Les nombre de données qui transitent par l'application est donc gargantuesque. Elle est une véritable mine d'or pour les pirates, ce qui explique pourquoi la moindre faille de sécurité se vend des millions de dollars sur le Dark Web.
Il faut dire qu'elles sont très peu nombreuses. Meta, la maison-mère, est consciente des enjeux et renforce continuellement son appli pour la rendre la plus imperméable possible. Cela ne veut pas dire qu'elle est inaccessible malheureusement, comme en témoigne la faille qui permet de conserver une photo ou une vidéo censée s'effacer après consultation. L'expert à l'origine de la découverte, Tal Be'ery, en a justement trouvé une autre et elle a de quoi inquiéter.
WhatsApp contient une vulnérabilité grave, il y a un risque pour vos données personnelles
La faille repérée n'est pas tout à fait nouvelle, Tal Be'ery en ayant déjà parlé plus tôt dans l'année. En résumé, elle permet aux pirates de savoir quel est l'appareil principal sur lequel vous vous servez de WhatsApp, ainsi qu'une idée globale de son type (mobile ou fixe).
Lire aussi – WhatsApp refuse les outils de Google pour garantir votre confidentialité dans sa nouvelle fonction de traduction
C'est en réalité plus grave qu'on ne le pensait, la faute à la façon dont WhatsApp gère l’identification des messages. Chaque système d'exploitation (Windows, iOS, Android, macOS…) attribue un identifiant d'une certaine manière.
Celui d'un smartphone Android est composé de 32 caractères par exemple, tandis que sur iPhone il en contient 20 plus un préfixe. Windows s'arrête à 18 et un message écrit depuis l'interface Web de la messagerie démarre par 3EB0 suivi de 22 caractères.
Un hacker peut facilement intercepter cet identifiant et, selon sa construction, en déduire sur quoi vous utilisez WhatsApp. Il lui est alors beaucoup plus simple de lancer une cyberattaque efficace puisqu'il sait désormais quel appareil et quel OS elle doit cibler. Et plus elle est personnalisée, plus elle sera difficile à détecter et à éviter. Mais cela peut aller beaucoup plus loin.
Quels sont les risques encourus et comment s'en protéger ?
Au-delà des hackers, on peut tout à fait imaginer que quelqu'un de plus “lambda” se serve de cette information pour nuire ou abuser d'une autre personne. Exemple : envoyer un message “Je suis en voiture, je te rappelle“, sauf que le texte est identifié comme émanant d'un PC sous Windows, ce qui éveille les soupçons. Autre cas, un commerçant remarquant que vous discutez avec lui à partir d'un iPhone 16 Pro Max pourra se dire que vous avez les moyens et augmentera le prix de son produit ou sa prestation.
Lire aussi – WhatsApp : vous pourrez bientôt bloquer les messages d’inconnus, fini les spams
En tant qu'utilisateur, il n'y a absolument rien que vous puissiez faire pour empêcher la fuite des données sur l'appareil que vous utilisez. C'est à Meta de faire le nécessaire et de déployer un correctif via une mise à jour de WhatsApp. Tal Be’ery a prévenu la firme de la faille et a reçu une réponse en date du 17 septembre. L'entreprise indique avoir lu le rapport du chercheur et se pencher sur la question.
Depuis, plus rien malgré plusieurs relances. L'homme estime que l'attente est trop longue, c'est pourquoi il a décidé de dévoiler publiquement la vulnérabilité de WhatsApp. Il propose même une solution : “en théorie, WhatsApp peut simplement utiliser la même logique de génération d'ID de message sur toutes les plates-formes et éliminer ainsi complètement l'opportunité [d'identification]”. Espérons que cela accélère les choses.