Fausse sécurité pour WhatsApp et conservation des discussions supprimées

La prétendue sécurité de WhatsApp serait fausse. Pire encore, les discussions supprimées, même privées, seraient sauvegardées localement et dans iCloud.

Sur son blog, le chercheur en sécurité Jonathan Zdziarski n’hésite pas à ouvertement affirmer que les promesses de WhatsApp sont fausses. Il cible particulièrement le slogan « La confidentialité et la sécurité font partie de notre ADN ».

Jonathan Zdziarski a décortiqué le fonctionnement de l’application WhatsApp pour iOS, ce qui lui a permis de découvrir deux immenses problèmes de sécurité. Le premier point concerne les données des discussions, mêmes des discussions privées, qui ne sont pas véritablement effacées en étant sauvegardées localement et dans iCloud. Le second est que tout n’est pas chiffré.

Les données supprimées dans WhatsApp… ne sont pas vraiment supprimées

Le chercheur en sécurité a tout d’abord découvert que WhatsApp pour iOS laisse les traces des logs des discussions en raison d’un dysfonctionnement de la bibliothèque SQLite, une librairie qui permet de faire fonctionner la base de données des contacts. « En fait, le seul moyen d’effacer vraiment vos chats est de supprimer totalement l’application », écrit laconiquement Jonathan Zdziarski.

Il souligne que toutes les applications qui utilisent SQLite rencontrent le même problème. Le souci provient du fait que SQLite ne nettoie pas les bases de données par défaut sous iOS.

Il rappelle également que la messagerie iMessage d’Apple « laisse beaucoup de traces récupérables légalement ». Le chercheur souligne, comparativement, que Signal est une messagerie instantanée centrée sur le respect de la vie privée et de la sécurité des données échangées.

Un chiffrement de bout en bout qui est une fausse affirmation

Sur son site, WhatsApp s’enorgueillit que son application de messagerie instantanée chiffre de bout en bout les communications établies au travers de son service. « Cela garantit que seuls vous et la personne avec qui vous communiquez pouvez lire ce qui est envoyé ». « Faux » rétorque Jonathan Zdziarski. D’après lui, seules les informations en transit sont cryptées.

De fait, localement sur les téléphones des utilisateurs, ces données ne sont pas protégées par du chiffrement. Malgré ce qu’affirme WhatsApp, cela signifie que n’importe qui, ayant un accès physiquement au terminal, peut les récupérer.

Pire, ces mêmes données sont stockées sous une forme non cryptée en ligne, dans iCloud. De fait, un tiers peut parfaitement y accéder au travers du système de sauvegarde, comme les autorités par exemple.

Alors que la communication de WhatsApp s’appuie sur son respect de la vie privée, ce qui lui a d’ailleurs valu plusieurs blocages par la justice brésilienne. Son image se retrouve donc passablement égratignée par ces révélations.

Votes
[Total : 1 votes en moyenne : 4]
PARTAGER
Article précédentEntre 3 et 5 milliards de dollars de redressement fiscal pour Facebook
Article suivantLes rayons cosmiques sont un risque pour le cœur, pas pour les cancers
Après mes études de journalisme, me retrouver à écrire sur des faits divers sans importance m'a déprimé. Lorsqu'un ami m'a emmené me changer les idées au salon Connect It de Paris, cela m'a fait tilt ! Découvrir les technologies d'aujourd'hui que tout le monde pourra utiliser demain… m'a donné une nouvelle inspiration. Par les amis de mes amis qui son mon avis, on m'a filament proposé d'écrire des articles sur le high-tech. Dire ce qui m'intéresse le plus ? Difficile à dire. Cela va si vite, les possibilités sont si énormes. Une chose est en tout cas sûre : cela me passionne !

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here