Le fondateur de l'application de messagerie instantanée Telegram, Pavel Durov, a exhorté les mobinautes à utiliser « n'importe quelle application de messagerie » à l'exception de WhatsApp pour éviter que leur téléphone ne soit piraté. Il a déclaré sur sa chaîne Telegram que WhatsApp était un outil de surveillance depuis 13 ans et que les mobinautes devraient rester à l'écart de l'application de messagerie. Il a rappelé que chaque année, il y avait un problème avec WhatsApp qui mettait en danger les données de ses utilisateurs.« Je ne pousse pas les gens à passer à Telegram ici. Avec plus de 700 millions d'utilisateurs actifs et plus de 2 millions d'inscriptions quotidiennes, Telegram n'a pas besoin de promotion supplémentaire. Vous pouvez utiliser n'importe quelle application de messagerie que vous aimez, mais restez à l'écart de WhatsApp, qui est désormais un outil de surveillance depuis 13 ans », a déclaré Durov sur sa chaîne.
Il a noté que les pirates pourraient avoir un accès complet à tout sur les téléphones des utilisateurs de WhatsApp en raison d'un problème de sécurité que la plateforme a révélé la semaine dernière. Tout ce qu'un pirate informatique doit faire pour accéder à toutes les données de son téléphone est d'envoyer une vidéo malveillante ou de démarrer un appel vidéo.
Durov a déclaré que si l'on pense que la mise à jour de WhatsApp vers la dernière version rendrait leurs données sûres, ce n'est pas vraiment le cas. Il a ajouté qu'un problème similaire avait été découvert en 2017 et 2018, puis en 2019, puis à nouveau en 2020. Avant 2016, WhatsApp n'avait pas de chiffrement de bout en bout, a souligné Durov.
Envoyé par Pavel Durov
Les pirates pourraient avoir un accès complet (!) à tout ce qui se trouve sur les téléphones des utilisateurs de WhatsApp.
Cela a été possible grâce à un problème de sécurité révélé par WhatsApp lui-même la semaine dernière. Tout ce qu'un pirate informatique devait faire pour contrôler votre téléphone était de vous envoyer une vidéo malveillante ou de démarrer un appel vidéo avec vous sur WhatsApp.
Vous pensez probablement "Ouais, mais si je mets à jour WhatsApp vers la dernière version, je suis en sécurité, non" ?
Pas vraiment.
Un problème de sécurité WhatsApp exactement comme celui-ci a été découvert en 2018, puis un autre en 2019 et encore un autre en 2020. Et oui, en 2017 avant ça. Avant 2016, WhatsApp n'avait pas du tout de chiffrement.
Chaque année, nous découvrons un problème dans WhatsApp qui met tout en danger sur les appareils de leurs utilisateurs. Ce qui signifie qu'il est presque certain qu'une nouvelle faille de sécurité existe déjà là-bas. De tels problèmes ne sont pas fortuits – ils sont plantés par des portes dérobées. Si une porte dérobée est découverte et doit être supprimée, une autre est ajoutée.
Cela a été possible grâce à un problème de sécurité révélé par WhatsApp lui-même la semaine dernière. Tout ce qu'un pirate informatique devait faire pour contrôler votre téléphone était de vous envoyer une vidéo malveillante ou de démarrer un appel vidéo avec vous sur WhatsApp.
Vous pensez probablement "Ouais, mais si je mets à jour WhatsApp vers la dernière version, je suis en sécurité, non" ?
Pas vraiment.
Un problème de sécurité WhatsApp exactement comme celui-ci a été découvert en 2018, puis un autre en 2019 et encore un autre en 2020. Et oui, en 2017 avant ça. Avant 2016, WhatsApp n'avait pas du tout de chiffrement.
Chaque année, nous découvrons un problème dans WhatsApp qui met tout en danger sur les appareils de leurs utilisateurs. Ce qui signifie qu'il est presque certain qu'une nouvelle faille de sécurité existe déjà là-bas. De tels problèmes ne sont pas fortuits – ils sont plantés par des portes dérobées. Si une porte dérobée est découverte et doit être supprimée, une autre est ajoutée.
« C'est pourquoi j'ai supprimé WhatsApp de mes appareils il y a des années. L'avoir installé crée une porte pour entrer dans votre téléphone », a déclaré Durov.
Un message qui vient après un avis de sécurité publié par WhatsApp en septembre. L'application de Meta indique avoir publié un correctif pour une vulnérabilité qui pourrait permettre à un pirate d'exécuter du code arbitraire (et donc installer des logiciels malveillants) sur son appareil pendant un appel vidéo. La faille de sécurité a été classée comme étant « critique ». Une autre faille que WhatsApp a signalée pourrait permettre à un attaquant d'exécuter du code arbitraire après l'envoi d'une vidéo spécialement conçue.
Ce n'est pas la première fois que Pavel Durov met en garde contre WhatsApp
En 2019, le fondateur de Telegram avait déjà publié un billet intitulé « Pourquoi WhatsApp ne sera jamais sécurisé ». Ce qui suit est issu de ce billet.
Le monde semble choqué d'apprendre que WhatsApp a transformé n'importe quel téléphone en logiciel espion. Tout ce qui se trouve sur votre téléphone, y compris les photos, les e-mails et les SMS, peut être consulté par des attaquants simplement parce que WhatsApp est installé.
Cette nouvelle ne m'a cependant pas surpris. L'année dernière, WhatsApp a dû admettre qu'il avait un problème très similaire - un seul appel vidéo via WhatsApp était tout ce dont un pirate avait besoin pour accéder à toutes les données de votre téléphone.
Chaque fois que WhatsApp doit corriger une vulnérabilité critique dans son application, une nouvelle semble prendre sa place. Tous leurs problèmes de sécurité conviennent parfaitement à la surveillance, ressemblent et fonctionnent beaucoup comme des portes dérobées.
Contrairement à Telegram, WhatsApp n'est pas open source, il n'y a donc aucun moyen pour les chercheurs en sécurité de vérifier facilement s'il y a des portes dérobées dans son code. Non seulement WhatsApp ne publie pas son code, mais ils font exactement le contraire : WhatsApp obscurcit délibérément les binaires de leurs applications pour s'assurer que personne ne peut les étudier en profondeur.
WhatsApp et sa société mère Facebook peuvent même être obligés de mettre en place des portes dérobées - via des processus secrets tels que les injonctions du FBI. Il n'est pas facile d'exécuter une application de communication sécurisée depuis les États-Unis. Une seule semaine passée par notre équipe aux États-Unis en 2016 nous a valu trois tentatives d'infiltration par le FBI. Imaginez ce que 10 ans dans cet environnement peuvent faire à une entreprise basée aux États-Unis.
Les agences de sécurité utilisent les efforts antiterroristes pour justifier la plantation de portes dérobées. Le problème est que ces portes dérobées peuvent également être utilisées par des criminels et des gouvernements autoritaires. Pas étonnant que les dictateurs semblent aimer WhatsApp : son manque de sécurité leur permet d'espionner leur propre peuple, donc WhatsApp continue d'être librement disponible dans des endroits comme la Russie ou l'Iran, où Telegram est interdit par les autorités.
En fait, j'ai commencé à travailler sur Telegram en réponse directe à la pression personnelle des autorités russes. À l'époque, en 2012, WhatsApp transférait encore des messages en clair. C'était fou. Non seulement les gouvernements ou les pirates, mais les fournisseurs de téléphonie mobile et les administrateurs WiFi avaient accès à tous les textes WhatsApp.
Plus tard, WhatsApp a ajouté un chiffrement, qui s'est rapidement avéré être un stratagème marketing : la clé pour déchiffrer les messages était disponible pour au moins plusieurs gouvernements, y compris les Russes. Puis, alors que Telegram commençait à gagner en popularité, les fondateurs de WhatsApp ont vendu leur entreprise à Facebook et ont déclaré que « la confidentialité était dans leur ADN ». Si c'est vrai, il doit s'agir d'un gène dormant ou récessif.
Il y a 3 ans, WhatsApp a annoncé avoir mis en place un chiffrement de bout en bout afin « qu'aucun tiers ne puisse accéder aux messages ». Cela a coïncidé avec une poussée agressive pour que tous ses utilisateurs sauvegardent leurs discussions dans le cloud. Lors de cette poussée, WhatsApp n'a pas dit à ses utilisateurs que lorsqu'ils sont sauvegardés, les messages ne sont plus protégés par un chiffrement de bout en bout et peuvent être consultés par les pirates et les forces de l'ordre. Un marketing brillant, et certaines personnes naïves purgent leur peine en prison.
Les utilisateurs de WhatsApp suffisamment résilients pour ne pas tomber dans les fenêtres contextuelles constantes leur demandant de sauvegarder leurs discussions peuvent toujours être suivis par un certain nombre d'autres astuces - de l'accès aux sauvegardes de leurs contacts aux changements de clé de chiffrement invisibles. Les métadonnées générées par les utilisateurs de WhatsApp - journaux décrivant qui discute avec qui et quand - sont divulguées à toutes sortes d'agences en grand volume par la société mère de WhatsApp.
WhatsApp a une histoire cohérente - du chiffrement zéro à sa création à une succession de problèmes de sécurité étrangement adaptés à des fins de surveillance. Avec le recul, il n'y a pas eu un seul jour dans le voyage de 10 ans de WhatsApp où ce service était sécurisé. C'est pourquoi je ne pense pas que la simple mise à jour de l'application mobile de WhatsApp la rendra sécurisée pour quiconque. Pour que WhatsApp devienne un service axé sur la confidentialité, il doit risquer de perdre des marchés entiers et de se heurter aux autorités de son pays d'origine. Ils ne semblent pas prêts pour cela.
L'année dernière, les fondateurs de WhatsApp ont quitté l'entreprise en raison de préoccupations concernant la confidentialité des utilisateurs. Ils sont sûrement liés par des injonctions du FBI ou des NDA (Non Disclosure Agreement), ils ne sont donc pas en mesure de discuter publiquement des portes dérobées sans risquer leur fortune et leur liberté. Ils ont cependant pu admettre « qu'ils ont vendu la vie privée de leurs utilisateurs ».
Je peux comprendre la réticence des fondateurs de WhatsApp à fournir plus de détails - il n'est pas facile de mettre votre confort en danger. Il y a plusieurs années, j'ai dû quitter mon pays après avoir refusé de me conformer aux violations de la vie privée des utilisateurs de VK sanctionnées par le gouvernement. Ce n'était pas agréable. Mais est-ce que je referais quelque chose comme ça ? Volontiers. Chacun de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
