Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

WhatsApp : histoire d’une faille de sécurité qui n’en est pas forcément une

La faille de Schrödinger

WhatsApp : histoire d'une faille de sécurité qui n'en est pas forcément une

Le 13 mars 2014 à 17h10

Un consultant indépendant en sécurité a critiqué WhatsApp pour le manque de sécurité fournie aux conversations des utilisateurs si elles sont stockées sur une carte SD, comme cela est souvent possible avec un smartphone Android. À y regarder de plus près, la situation n’est pas aussi simple.

whatsapp whatsapp whatsapp whatsapp

Alors, faille ou pas faille ? 

Selon le consultant Bas Bosschert, il existe au sein de la version Android de WhatsApp une faille de sécurité. Exploitée, elle permettrait à une autre application d’aller récupérer les conversations en cours si l’utilisateur a fait le choix de les stocker sur la carte externe. Un port SD est en effet souvent présent sur les smartphones Android, ce qui permet d’y transférer aussi bien des données personnelles que des applications, le choix se faisant à l’installation.

 

Pour WhatsApp cependant, la notion de faille de sécurité est largement exagérée : « Nous sommes informés des rapports au sujet d’une « faille de sécurité ». Malheureusement, ces rapports n’ont pas dépeint un portrait précis et sont exagérés. En temps normal, les données sur la carte microSD ne sont pas exposées. Cependant, si un utilisateur télécharge un logiciel malveillant ou un virus, leur téléphone sera en danger. Comme toujours, nous recommandons aux utilisateurs de WhatsApp d’appliquer toutes les mises à jour pour s’assurer qu’ils disposent des derniers correctifs de sécurité, et nous leurs recommandons également de ne télécharger que des applications de confiance d’entreprises connues. La version actuelle de WhatsApp dans Google Play a été mise à jour pour mieux protéger nos utilisateurs contre les applications malveillantes ».

Entre sécurité inhérente à Android et meilleure protection des données 

Le problème serait donc là : dans le fait qu’un utilisateur fait confiance à une application qui arbore un comportement malveillant. C’est cette dernière qui va aller récupérer les données sur la carte SD pour les transmettre ensuite à un serveur distant.

 

Pour autant, plusieurs questions se posent. D’une part, serait-il possible à WhatsApp de mieux sécuriser les données quand elles se trouvent sur une carte SD afin de les rendre inexploitables par une autre application ? D’autre part, peut-on attendre des utilisateurs qu’ils sachent faire la différence entre une application légitime et une malveillante ? Le succès d’Android est en partie basé sur cette liberté d’installation des applications et les utilisateurs en ont l’habitude.

 

En attendant que la situation soit un peu plus claire, les utilisateurs sont invités à contrôler plus précisément ce qu’ils téléchargent sur des boutiques tierces. Comme Kaspersky le rappelait dans son dernier rapport sur les évolutions de la sécurité en 2013, Android concentre à lui seul 98 % des attaques mobiles.

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







DahoodG4 a écrit :



OMG, la meme pour MS et windows :







pourquoi juste Windows? C’est pareil sur OSX et linux.


votre avatar







cid_Dileezer_geek a écrit :



C’est sans faille, une faille…surtout depuis que FB l’a racheté…<img data-src=" />





J’suis là———————————————-&gt;j’suis plus là–&gt;[ ]



<img data-src=" />





Cartapus ? C’est toi ? Dieudonné ne te voit plus….


votre avatar



D’une part, serait-il possible à WhatsApp de mieux sécuriser les données quand elles se trouvent sur une carte SD afin de les rendre inexploitables par une autre application ?





Android utilise un noyau linux et un système de fichier Ext (En fait il y en a une multitude de possibilité sur linux), et tout ce petit monde gère donc les autorisations de façon complexe. Le problème vient du FAT qui rappelons est toujours utilisé sur les cartes SD/clef USB et qui ne gere pas les autorisations complexes.



[Bref une app peut lire toute la carte SD si c’est dans ses permissions. Par contre si on a pas de carte SD ou de carte SD en FAT, une App comme Whatsapp peut créer un dossier Whatsapp et se donner l’autorisation à elle seule] . Résultat de tout ça les constructeurs comme Samsung sont obligé de mettre les carte SD en FAT, car quelle est l’utilité d’une carte SD non lisible par Windows? Le FAT est démodé et pas du tout sécurisé mais il va falloir se le coltiner encore longtemps, sauf si le cloud l’anéantit.



Pourquoi on a pas d’alternatives moderne mis en place? Car Microsoft bloque tout support d’autres système. [En fait Windows ne gère uniquement que le (ex)Fat et NTFS là ou par exemple Apple gere le ntfs/(ex)Fat/UFS/HFS/…..] Et ceux qui cherchent la raison; alors que les systèmes modernes et Open source existent et sont documenté depuis des années, la réponse est toute simple, Microsoft touche un pactole sur les Brevets du FAT et ne veut pas que ce racket s’arrête. D’où le choix de certains marques d’abandonner le support de la carte SD purement et simplement. C’est le cas de Google qui a préféré par exemple faire l’impasse totale, pour des questions de couts et de sécurité.



[Il est à noter qu’une court fédérale allemande a invalidé les brevets FAT il y a 3mois, donc faudra voir l’évolution]

votre avatar







Abused a écrit :



En fait ce n’est pas l’appli qui est en cause mais la maniere dont est geré les informations personnelles (au seing meme de l’OS) auxquelles les autres applis (malveillantes ou pas) ont acces !!

car meme en cryptant/chiffrant ces informations, les autres applis peuvent tres bien les recuperer de maniere brute pour les transferer a des tiers







Oui enfin bon qui va sincèrement passer des années (au bas mot) a casser le chiffrement pour voir que tu as parlé a ton pote pour lui demander si il allait bien ?


votre avatar







animehq a écrit :



Oui enfin bon qui va sincèrement passer des années (au bas mot) a casser le chiffrement pour voir que tu as parlé a ton pote pour lui demander si il allait bien ?







La clé du chiffrement AES, commune à tout le monde, c’était :

346a23652a46392b4d73257c67317e352e3372482177652c

Ca fait un bon moment que cette implémentation de Whatsapp est connue. J’avais utilisé il y a un an ce thread de xda :http://forum.xda-developers.com/showthread.php?t=1583021

L’implémentation semble avoir changé ces dernières semaines mais pas beaucoup. Différentes clés sont utilisables :



The decryption keys are as follows:



Key 1: 346a23652a46392b4d73257c67317e352e3372482177652c &lt; Original Key Still Used

Key 2: 210a32310653593a195f301c766552204e22266434177478

Key 3: 2693d154f27a9571121418752207ef0e53b2b2fa5444538b

IV PS: 1e39f369e90db33aa73b442bbbb6b0b9

Key 4: 8d4b155cc9ff81e5cbf6fa7819366a3ec621a656416cd793

Key 5: NATIVE ANDROID KEY GENERATION





C’est très moche comme implémentation mais c’est le moyen le plus facile qu’ils ont de faire un produit facile à transférer entre différents appareils et sans stocker les messages sur des serveurs.

Après ils auraient pu avoir des clés uniques et stocker ces clés dans le dossier de l’application et sur leurs serveurs. Ca bloque les transferts de base de donnée entre différents appareils quand c’est hors ligne (et encore, un petit QR code et ça repart) mais ça sécurise quand même vachement mieux.


votre avatar

J’ai remarqué que la base de données d’iMessage sur OSX est également clairement lisible par toutes applications. C’est juste un manque de sécurité plutôt qu’une faille.

votre avatar







DahoodG4 a écrit :



OMG, la meme pour MS et windows :



Malheureusement, ces rapports n’ont pas dépeint un portrait précis et sont exagérés. En temps normal, les données sur la carte microSD le disque dur, ne sont pas exposées. Cependant, si un utilisateur télécharge un logiciel malveillant ou un virus, leur téléphone ordinateur sera en danger… .



Cryptage, ca leur dit quelque chose ?







ça change quoi faut bien stocker la clé de déchiffrement quelque part aussi et elle sera elle aussi vulnérable ?



La seule solution pour éviter c’est que le system (Android ici, mais le rpoblème est le même pour toute les platformes) soit capable d’empêcher “autrequeWhatsApp” d’accéder aux données “WhatsApp” et pour ça faut des droits (au niveau du ssytème de fichier) spécifiques aux applications.


votre avatar







Ballos a écrit :



Android utilise un noyau linux et un système de fichier Ext (En fait il y en a une multitude de possibilité sur linux), et tout ce petit monde gère donc les autorisations de façon complexe. Le problème vient du FAT qui rappelons est toujours utilisé sur les cartes SD/clef USB et qui ne gere pas les autorisations complexes.





L’ext n’est absolument pas une solution en lui même car les autorisations ne sont valides que sur le système hôte de base, si tu récupère le périphérique de stockage sur un autre système capable d’accéder à une partition ext tu peut ouvrir/modifier n’importe quel fichier sans soucis.



Tu aurait parlé d’utiliser des LVM à la rigueur pourquoi pas puisque là sans le mot de passe tu ne peut pas monter le système de fichier donc pas accéder à son contenu.









Ballos a écrit :



Résultat de tout ça les constructeurs comme Samsung sont obligé de mettre les carte SD en FAT, car quelle est l’utilité d’une carte SD non lisible par Windows?





On peut très bien monter de l’ext sous Windows, pas nativement c’est vrai mais il existe un pilote qui fonctionne très bien pour le faire. (là encore ça fait sauter toute notion d’autorisation et te donne tout les droits sur tous les fichiers puisque ça n’est plus le système hôte qui gère le système de fichiers)


votre avatar

La solution est pourtant simple désinstaller Whatsapp et installer surespot a la place. Gratuit, chiffré, décentralisé, fessebouc-free… et must du must. Bien sur… Libre!

lien

votre avatar







troun a écrit :



La solution est pourtant simple désinstaller Whatsapp et installer surespot a la place. Gratuit, chiffré, décentralisé, fessebouc-free… et must du must. Bien sur… Libre!

lien







Et le plus important : utilisé par personne !


votre avatar

C’est sur qu’une appli communicante que tu es le seul à utiliser perd un chouilla de son utilité mais au moins t’es pas emmerdé avec des soucis de sécurité <img data-src=" />

votre avatar







Guinnness a écrit :



C’est sur qu’une appli communicante que tu es le seul à utiliser perd un chouilla de son utilité mais au moins t’es pas emmerdé avec des soucis de sécurité <img data-src=" />





Pour parler avec moi même, je parle à voix haute dans la rue. Tout le monde l’entend mais comme on me prends pour un fou, personne m’écoute ! <img data-src=" />


votre avatar







le-gros-bug a écrit :



Et le plus important : utilisé par personne !







Pas toi |= personne



Et puis whatsapps a ete lance aussi avec le parc client actuel peu être?



Franchement avec ce genre de raisonnement on serait toujours sous DOS…



De mon côté un mail collectif Bbc et la quasi totalité des contacts proche/récurrents l’ont installé…


votre avatar







Guinnness a écrit :



L’ext n’est absolument pas une solution en lui même car les autorisations ne sont valides que sur le système hôte de base, si tu récupère le périphérique de stockage sur un autre système capable d’accéder à une partition ext tu peut ouvrir/modifier n’importe quel fichier sans soucis.



Tu aurait parlé d’utiliser des LVM à la rigueur pourquoi pas puisque là sans le mot de passe tu ne peut pas monter le système de fichier donc pas accéder à son contenu.





D’accord mais sans le FAT pour récupérer les données le seul moyen et de voler le téléphone et de récupérer la carte SD à l’intérieur!! <img data-src=" /> Et cela ne servira à rien si la carte SD est crypté comme c’est proposé dans les options de sécurité.



Bref sans le FAT on aurait pas tout ces souci… D’ailleurs Google en a peu marre de ça et désormais depuis kitKat l’api d’accès à la carte SD veille à ce que l’app n’est accès qu’ à son dossier.. Donc le piratage décrit dans l’article ne marche déjà plus avec les appareils à Jour.



votre avatar







troun a écrit :



Franchement avec ce genre de raisonnement on serait toujours sous DOS CP/M …





Fixed <img data-src=" />


votre avatar

Il fonctionne trop bien ce truc, faut qu’il soit racheté par une boite de mer… ou alors dénigré…

votre avatar

C’est sans faille, une faille…surtout depuis que FB l’a racheté…<img data-src=" />





J’suis là———————————————-&gt;j’suis plus là–&gt;[ ]



<img data-src=" />

votre avatar

OMG, la meme pour MS et windows :



Malheureusement, ces rapports n’ont pas dépeint un portrait précis et sont exagérés. En temps normal, les données sur la carte microSD le disque dur, ne sont pas exposées. Cependant, si un utilisateur télécharge un logiciel malveillant ou un virus, leur téléphone ordinateur sera en danger… .



Cryptage, ca leur dit quelque chose ?

votre avatar



Comme Kaspersky le rappelait dans son dernier rapport sur les évolutions de la sécurité en 2013, Android concentre à lui seul 98 % des attaques mobiles.



Android est largement majoritaire aussi.

votre avatar







DahoodG4 a écrit :



Cryptage, ca leur dit quelque chose ?





Non. Chiffrement, peut-être ?<img data-src=" />


votre avatar







TheFelin a écrit :



Il fonctionne trop bien ce truc, faut qu’il soit racheté par une boite de mer… ou alors dénigré…





Ou les deux, ce qui semble être le cas ici.<img data-src=" />


votre avatar

J’adore le sous-titre à réalité ambivalente :)

votre avatar







DahoodG4 a écrit :



OMG, la meme pour MS et windows :



Malheureusement, ces rapports n’ont pas dépeint un portrait précis et sont exagérés. En temps normal, les données sur la carte microSD le disque dur, ne sont pas exposées. Cependant, si un utilisateur télécharge un logiciel malveillant ou un virus, leur téléphone ordinateur sera en danger… .



Cryptage, ca leur dit quelque chose ?





En mêmetemps, cryptage/chiffrement ou pas, si l’algo est faible ça change rien.

Et même si il est fort, y’a toujours des failles possible dans l’usage de WA, ou au pire, dégommer les fichiers de conversations.





Ricard a écrit :



Non. Chiffrement, peut-être ?<img data-src=" />





roh tout de suite ! tant que tu te fais pas chopé par Hadopi en train de faire du reverse engineering sur le fichier c’est bon <img data-src=" />





arnokb a écrit :



J’adore le sous-titre à réalité ambivalente :)





Je préfère le chat, il est plus intelligent <img data-src=" />


votre avatar



En fait ce n’est pas l’appli qui est en cause mais la maniere dont est geré les informations personnelles (au seing meme de l’OS) auxquelles les autres applis (malveillantes ou pas) ont acces !!

car meme en cryptant/chiffrant ces informations, les autres applis peuvent tres bien les recuperer de maniere brute pour les transferer a des tiers

WhatsApp : histoire d’une faille de sécurité qui n’en est pas forcément une

  • Alors, faille ou pas faille ? 

  • Entre sécurité inhérente à Android et meilleure protection des données 

Fermer