Groupes publics WhatsApp peuvent laisser les données de l’utilisateur vulnérables à raconter des critiques de porte-monnaie bitcoin de venturebeat

Le cofondateur de WhatsApp, Brian Acton, a exprimé son indignation face aux politiques de confidentialité de Facebook le mois dernier en tweetant “Il est temps. #deletefacebook. “Mais Facebook de WhatsApp discussion de groupe Les fonctionnalités présentent également des failles de conception qui mettent en péril la confidentialité des utilisateurs. Peut-être que c’est aussi le moment de #DeleteWhatsApp.

WhatsApp se différencie de la société mère Facebook en vantant son cryptage de bout en bout. «Certains de vos moments les plus personnels sont partagés avec WhatsApp», écrit l’entreprise sur son site Web, de sorte que «vos messages, photos, vidéos, messages vocaux, documents et appels ne tombent pas entre de mauvaises mains».

Groupes WhatsApp sont conçus pour permettre à 256 personnes de rejoindre une discussion partagée sans passer par un administrateur central.


Les auteurs de groupes peuvent ajouter des contacts à partir de leur téléphone ou créer des liens permettant à quiconque d’y participer. Ces groupes, qui peuvent être consultés sur Internet, abordent des sujets aussi divers que l’agriculture, la politique, la pornographie, le sport et la technologie. Tous les groupes n’ont pas de liens, mais dans ceux qui le font, quiconque trouve le lien peut rejoindre le groupe. Bien que tous les nouveaux membres soient annoncés au groupe, ils ne sont pas tenus de fournir un nom ou de s’identifier autrement. Cette conception pourrait laisser les membres inattentifs ouverts au ciblage, comme le montre un nouveau rapport de chercheurs européens.

Les chercheurs ont démontré qu’une personne technophile peut facilement obtenir des trésors de données de Groupes WhatsApp en utilisant rien de plus qu’un vieux smartphone Samsung exécutant des scripts et des applications sur étagère. Ce n’est pas une violation de sécurité – l’application fonctionne exactement comme prévu.

Kiran Garimella de l’École Polytechnique Fédérale de Lausanne en Suisse m’a envoyé un brouillon d’un document qu’il a co-écrit avec Gareth Tyson, de l’Université Queen Mary, U.K. Intitulé “WhatsApp, doc? Un premier aperçu des données du groupe public WhatsApp », détaille comment ils ont pu obtenir des données de près d’un demi-million de messages échangés entre 45 794 utilisateurs de WhatsApp dans 178 groupes publics sur une période de six mois, y compris les numéros mobiles des utilisateurs et toutes les images , des vidéos et des liens Web qu’ils avaient partagés. Les groupes avaient des titres tels que «drôle», «amour contre la vie», «XXX», «nu» et «films en boîte», ainsi que les noms des partis politiques et des équipes sportives.

Les chercheurs ont obtenu des listes de public Groupes WhatsApp grâce à des recherches sur le Web et à l’utilisation d’un outil d’automatisation de navigateur pour rejoindre quelques-uns des quelque 2 000 groupes qu’ils ont trouvés – un processus nécessitant peu d’intervention humaine et facilement applicable à un plus grand nombre de groupes. Leur smartphone a commencé à recevoir de grands flux de messages, que WhatsApp stockait dans une base de données locale. Les données sont cryptées, mais la clé de chiffrement est stockée dans la RAM de l’appareil mobile lui-même. Cela a permis aux chercheurs de déchiffrer les données en utilisant une technique développée par les chercheurs indiens L.P. Gudipaty et K.Y. Jhala.

L’objectif des chercheurs était de déterminer comment WhatsApp pourrait être utilisé pour la recherche en sciences sociales (ils prévoient rendre leur base de données et leurs outils accessibles au public après anonymisation des données). Mais leur article démontre à quel point les spécialistes du marketing, les pirates informatiques et les gouvernements peuvent facilement tirer parti de la plate-forme WhatsApp – sans contraintes contractuelles et pour presque aucun coût.

Cela peut avoir un côté beaucoup plus sombre. Le New York Times a récemment publié un article sur la détention du militant des droits de l’homme Zhang Guanghong par le gouvernement chinois après que le gouvernement ait surveillé un groupe WhatsApp d’amis de Guanghong, avec qui il avait partagé un article critiquant le président chinois. Le Times a spéculé que le gouvernement avait piraté son téléphone ou avait un espion dans son discussion de groupe, mais la collecte de telles informations est facile pour toute personne disposant d’un lien hypertexte de groupe ou d’un accès à un serveur.

Plus tôt cette année, Wired a rapporté que des chercheurs de Ruhr-University Bochum en Allemagne ont découvert une série de failles dans les applications de messagerie cryptées qui permettent à quiconque contrôle un serveur WhatsApp “d’insérer sans effort de nouvelles personnes dans un groupe privé”. Administrateur qui contrôle ostensiblement l’accès à cette conversation. »L’accès à un serveur informatique nécessite des compétences de piratage sophistiquées ou le type d’accès que seuls les gouvernements peuvent obtenir. Mais comme Wired a écrit, “la prémisse de soi-disant cryptage de bout en bout a toujours été que même un serveur compromis ne devrait pas exposer les secrets. “

Le chercheur Paul Rösler aurait déclaré: «La confidentialité du groupe est rompue dès que le membre non invité peut obtenir tous les nouveaux messages et les lire … Si j’entends il y a cryptage de bout en bout pour les deux groupes et les communications à deux parties, cela signifie que l’ajout de nouveaux membres devrait être protégé contre. Et sinon, la valeur du cryptage est très faible. “

L’essentiel est que Facebook et sa famille d’entreprises sont beaucoup trop décontracté sur la vie privée, comme nous l’avons vu à partir des révélations de Cambridge Analytica. Pour éviter de nuire davantage à la liberté et à la démocratie, ces géants des médias sociaux doivent être tenus à des normes plus élevées.