Des chercheurs allemands de l’université de la Ruhr Bochum, ont découvert une  faille de sécurité dans les discussions de groupe de plusieurs messageries sécurisées, a annoncé Wired le 10 janvier dernier. Concernant WhatsApp, un hacker qui piraterait les serveurs pourrait insérer un participant sans le consentement de l’administrateur d’un groupe de discussion..

Confidentialité et sécurité font partie de l’ADN de WhatsApp, qui met en avant le chiffrement de bout en bout, c’est-à-dire opéré entre les téléphones, et insiste sur l’impossibilité pour les serveurs acheminant les messages de les lire. Sauf que, chaque participant à la discussion recevant automatiquement les clés de chiffrement, lui permettant de lire les messages envoyés suite à son ajout, quiconque dispose d’un accès au serveur peut s’insérer dans un groupe de discussion, et accéder aux conversations chiffrées de bout en bout. Ainsi, avoir accès au serveur de WhatsApp permet de s’inviter dans n’importe quel groupe de discussion.

WhatsApp estime que l’ajout d’un participant faisant l’objet d’une notification aux utilisateurs, cela suffit à protéger la confidentialité. Alex Stamos, responsable sécurité de Facebook, la maison-mère de WhatsAp se justifie: « Les notifications envoyées lorsqu’un nouveau participant rejoint un groupe et les nombreuses façons de vérifier qui s’y trouve rendent impossible l’espionnage invisible des conversations ». D’autant plus que, outre le manque de discrétion, une telle attaque nécessite, soit d’obtenir l’accord de WhatsApp, soit d’en pirater les serveurs.

Il ne s’agit donc pas d’une vulnérabilité dans le mécanisme de chiffrement de WhatsApp. Moxie Marlinspike, le développeur à l’origine du code de chiffrement, a précisé sur le forum YCombinator que celle-ci restait largement en pointe en matière de protection des conversations. Et confirme que WhatsApp reste ce qu’il se fait de mieux en matière de messageries sécurisées, comparativement à d’autres solutions, telle que Telegram, où contrairement à une idée largement répandue,  il n’y a aucun chiffrement de bout en bout dans les conversations de groupe.

Mais que se passerait-il si demain un gouvernement imposait à l’application de lui ouvrir les portes d’une discussion de militants ?