En 2016, WhatsApp a enfin activé le cryptage complet de bout en bout pour les conversations et les appels vidéo afin de garantir que personne, sauf le destinataire prévu, ne puisse déchiffrer le contenu de leurs communications. Malheureusement, il est apparu que le système de WhatsApp était en proie à une vulnérabilité majeure découverte par Tobias Boelter, chercheur en cryptographie et sécurité à l'Université de Californie à Berkeley..
Dans une interview avec le journal britannique The Guardian, Boelter a déclaré que la porte dérobée pourrait permettre à Facebook de lire le contenu crypté de bout en bout, ce qui signifie que le réseau social pourrait être conforme aux ordonnances des tribunaux pour mettre les messages décryptés à la disposition des forces de l'ordre et d'autres agences gouvernementales
MISE À JOUR: Nous avons reçu une réponse de WhatsApp concernant la porte dérobée présumée.
Un porte-parole de WhatsApp a fourni la déclaration suivante à iDownloadBlog, expliquant pourquoi la revendication du Guardian d'une sécurité potentiellement compromise est fausse.
Le Guardian a publié une histoire ce matin affirmant qu'une décision de conception intentionnelle dans WhatsApp qui empêche les gens de perdre des millions de messages est une «porte dérobée» permettant aux gouvernements de forcer WhatsApp à déchiffrer les flux de messages. ** Cette affirmation est fausse. **
WhatsApp ne donne pas aux gouvernements une «porte dérobée» dans ses systèmes et combattrait toute demande gouvernementale de créer une porte dérobée. La décision de conception référencée dans l'histoire du Guardian empêche la perte de millions de messages, et WhatsApp propose aux utilisateurs des notifications de sécurité pour les alerter des risques de sécurité potentiels.
WhatsApp a publié un livre blanc technique sur sa conception de cryptage, et a été transparent sur les demandes du gouvernement qu'il reçoit, publiant des données sur ces demandes dans le rapport des demandes du gouvernement Facebook. (https://govtrequests.facebook.com/)
Le chiffrement utilisé par WhatsApp est basé sur le protocole de signal d'Open Whisper Systems.
Ce qui est suspect ici, c'est que la même vulnérabilité n'est pas présente dans l'application Signal. Boelter a confirmé que la vulnérabilité permet à WhatsApp de modifier les clés de chiffrement pour les utilisateurs hors ligne. En conséquence, tout message non envoyé ou futur serait envoyé avec une nouvelle clé de cryptage sans que le destinataire s'en rende compte..
L'expéditeur n'est informé que s'il a accepté les avertissements de chiffrement dans les paramètres de WhatsApp, mais uniquement après que les messages ont été renvoyés. Ce recryptage et cette rediffusion permettent à WhatsApp d'intercepter et de lire les messages des utilisateurs..
Comparez cela au système de signal susmentionné qui informe l'expéditeur de tout changement dans les clés de sécurité sans renvoyer automatiquement le message. En fait, un message ne sera pas délivré via l'application Signal si un changement dans les clés de chiffrement se produit.
Boelter a signalé le problème à Facebook en avril 2016 seulement pour être informé qu'il s'agissait d'un «comportement attendu», ce qui fait soupçonner qu'il pourrait s'agir d'une porte dérobée délibérément créée plutôt que d'une erreur d'ingénierie ou d'un bug quelconque.
Plus inquiétant encore, The Guardian a vérifié que la porte dérobée existe toujours aujourd'hui.
Les militants de la protection de la vie privée ont critiqué le développement comme une «énorme menace pour la liberté d'expression», affirmant qu'il pourrait être exploité par les agences gouvernementales. L'existence d'une porte dérobée dans le cryptage de WhatsApp est «une mine d'or pour les agences de sécurité» et «une énorme trahison de la confiance des utilisateurs», a déclaré Kristie Ball, codirectrice et fondatrice du Center for Research in Information, Surveillance and Privacy.
Quoi qu'il en soit, Facebook devrait absolument savoir si le cryptage de bout en bout de WhatsApp a été compromis ou non. Et si oui, la question inévitable se pose: Facebook a-t-il été contraint par un tiers de construire une porte dérobée dans WhatsApp?
Facebook a refusé de commenter, mais nous mettrons à jour l'article si et quand ils le font.
Source: The Guardian