Mauvaise nouvelle pour les utilisateurs de WhatsApp et de Signal : des chercheurs en sécurité ont découvert une vulnérabilité qui met à mal leur vie privée, en permettant de déterminer leur emplacement. Ils ont publié les résultats de leurs travaux lors du Network and Distributed System Security (NDSS) Symposium. Cette vulnérabilité touche aussi l’application de messagerie instantanée chiffrée Threema.
Le principe est le suivant : le pirate envoie un message à la victime et mesure le temps nécessaire pour recevoir la notification qui indique que le message a bien été distribué. En effet, les réseaux Internet mobiles et les serveurs des applications de messageries instantanées ont des caractéristiques spécifiques qui engendrent une forme de standard dans le délai de transmission des messages et des notifications. Il est ainsi possible de prédire les délais de transmission selon la position de l’utilisateur.
Les pirates peuvent donc réaliser des tests préliminaires en envoyant des messages à des personnes dont l’emplacement est connu, afin de calculer la position des serveurs, puis les délais en fonction des emplacements. Il faut cependant une phase préliminaire longue et de nombreux essais pour calculer le plus de couples positions/délais possibles. Une fois cette phase terminée, il devient possible de calculer la position de la victime, en l’occurrence son pays, sa ville, voire son quartier.
Selon les résultats des chercheurs, la précision de la classification des différents lieux est la suivante :
- 82 % pour Signal.
- 80 % pour Threema.
- 74 % pour WhatsApp.
Les utilisateurs de WhatsApp sont ainsi un peu moins exposés que ceux de Signal, mais restent vulnérables. Ils sont deux milliards dans le monde, contre 40 millions pour Signal et 10 millions pour Threema. Cette découverte pose évidemment la question de la vie privée, sachant que ces services vantent leurs communications sécurisées et chiffrées. En revanche, l’utilisation d’un réseau privé virtuel rend les mesures des pirates totalement caduques. La solution pour les fournisseurs de messagerie instantanée serait d’introduire un retard aléatoire, par exemple entre 1 et 20 secondes, pour envoyer à l’expéditeur une confirmation de réception.
Pour le moment, seul Threema a réagi en indiquant qu’ils travaillent sur le concept de retard aléatoire et que cela pourrait être mis en œuvre dans une prochaine version de l’application. L’entreprise précise que l’exploitation de la vulnérabilité est discutable. En effet, l’application n’est pas ouverte tout le temps et l’envoi de notifications en tâche de fond peut déjà introduire un délai de plusieurs secondes.
En attendant, les utilisateurs peuvent toujours désactiver l’envoi d’accusés de réception, si l’application le permet.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Restore Privacy