Connexion
Abonnez-vous

WhatsApp bouche une faille qui a permis l’installation de logiciels espions avec un simple appel

WhatsApp bouche une faille qui a permis l'installation de logiciels espions avec un simple appel

Le 14 mai 2019 à 09h43

Initialement rapportée par le Financial Times, la vulnérabilité a depuis été confirmée par Facebook. Pour être exploité, il suffisait de lancer un appel et la cible n'avait même pas besoin de répondre. Bien évidemment, elle a été rapidement bouchée.

Toutes les applications de la messagerie sont touchées : les versions antérieures à la v2.19.134 sur Android, v2.19.44 pour Android Business et  v2.19.51 pour iOS (y compris Business).

La messagerie instantanée ajoute que des utilisateurs ont été ciblés par un attaquant de haut niveau, une société privée collaborant avec des gouvernements, sans donner plus de détails. Selon nos confrères, le logiciel espion avait été développé par la société israélienne NSO Group.

Cette dernière indique à Mashable enquêter sur cette affaire. Elle rappelle que sa technologie est « concédée sous licence à des organismes gouvernementaux agréés dans le seul but de lutter contre le crime et le terrorisme », et qu'elle ne doit pas être utilisée « pour cibler des personnes ou une organisation ». 

Le 14 mai 2019 à 09h43

Commentaires (39)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Elle rappelle que sa technologie est « concédée sous licence à des organismes gouvernementaux agréés dans le seul but de lutter contre le crime et le terrorisme », et qu’elle ne doit pas être utilisée « pour cibler des personnes ou une organisation ».



Comme chaque gouvernement a sa définition propre du crime et du terrorisme, c’est assez pratique en effet.

On se rappellera des Eagle (les “stylos” de Philippe Vannier) d’Amesys déployés en Libye pour lutter contre les fameux pédophiles libyens.

NSO sait très bien à quoi vont servir ses outils en fonction du client.

Quand elle vend Pegasus à l’Arabie Saoudite, elle se doute bien qu’il ne va pas être utilisé aux mêmes fins qu’en Suisse (par exemple). Donc les justifications légales à 2 balles, ça va bien 2 minutes.



On est quand même heureux que CitizenLab existe. ils font un boulot monstrueux et salutaire. Sans eux on entendrait pas parler d’NSO.

NSO qui a récemment tenté de les piéger via l’officine de renseignement privée Black Cube (Israélienne aussi).



C’est des gentils, NSO, faut pas croire les merdias. <img data-src=" />

votre avatar







hellmut a écrit :



Comme chaque gouvernement a sa définition propre du crime et du terrorisme, c’est assez pratique en effet.





J’allais citer le même passage. J’aimerais qu’on m’explique aussi comment on lutte contre le crime sans cibler une personne ou une organisation… Soit la techno est inutile, soit elle est faite pour cibler des personnes et des organisations <img data-src=" />


votre avatar

oui j’ai aussi identifié cette contradiction. ^^



mais bon en gros leur propos c’est que c’est une techno pour cible les méchants, et que c’est pas à eux de déterminer qui sont les méchants.

C’est pas complètement faux, mais c’est quand même à eux de faire la part des choses entre les gens à qui ils vendent.

votre avatar

Disons que c’est le dilemme du marchand d’arme…

votre avatar

Backdoor ?

votre avatar

Donc les criminels ne sont pas des personnes??&nbsp; Je crois que l’universalité des droits de l’homme vient d’en prendre un coup.

votre avatar

Ça fait un baille que je n’utilise pas “WhatsApp” , il y a bien mieux maintenant “Télégramme”

votre avatar

J’espère que c’est de l’ironie <img data-src=" />

votre avatar







livvydun a écrit :



J’espère que c’est de l’ironie <img data-src=" />





Non , à part qu’elle ne fait pas encore vidéo j’utilise que çà avec mes amis et famille

Vu que maintenant watstupp appartient à Facebook…


votre avatar

On parle pas de la même chose.

Whatsapp chiffre automatiquement de bout en bout tous les échanges (hors metadata), ce que je fait pas Telegram.

votre avatar

non, à priori une faille dans l’implémentation du protocole SRTP qui gère l’échange de paquets en temps réel.

en plus whatsapp pour gagner du temps active ce protocole pendant que ça sonne (ça évite d’attendre après avoir décroché), du coup comme indiqué y’a pas besoin de décrocher pour exploiter la faille.

Comme après ça donne accès à tout, l’attaquant peut modifier les logs pour effacer l’appel et passer inaperçu.

un bel exploit en tout cas. c’est pas des quiches chez NSO.

j’ai aussi vu que les gars de Google Project Zero s’étaient penchés sur le sujet y’a quelques mois mais n’avaient pas vu le souci (je sais pas pour quelle raison par contre, pas eu le temps de trop regarder).

votre avatar







hellmut a écrit :



On parle pas de la même chose.

Whatsapp chiffre automatiquement de bout en bout tous les échanges (hors metadata), ce que jene fait pas Telegram.





correction évidente. ^^


votre avatar







hellmut a écrit :



On parle pas de la même chose.

Whatsapp chiffre automatiquement de bout en bout tous les échanges (hors metadata), ce que je fait pas Telegram.





C’est comme dire que Facebook ont décidé de protèger la vie privé de ces utilisateurs


votre avatar

heu ok.

alors Telegram a accès aux métadonnées et au contenu de tes échanges (en gros, tout).

facebook sur whatsapp n’a accès “que” aux metadonnées.



je te laisse en tirer les conclusions.

votre avatar
votre avatar

en fait le but c’est de ne faire confiance à personne, ni à Zuckerberg, ni à Durov (si t’as confiance en Durov, tant mieux pour toi, c’est pas mon cas).

et un truc super pratique pour ça, c’est de chiffrer ses communications.

du coup effectivement, je préfère utiliser whatsapp et que Zuck ait juste accès à mes metadata, que de me balader à oilpé sur Telegram et que Durov en fasse ce que bon lui semble.



ça vaut aussi pour ton exemple Gmail/Gandi au fait. ^^^

du coup je suis chez ProtonMail.<img data-src=" />



edit: en passant je vois que la com’ de Durov se présentant comme le chevalier blanc du chat fonctionne.

on se demande pourquoi il n’a pas fait comme tout le monde, et adopté le chiffrement de bout en bout du coup, puisqu’il est si génial.

reedit: pour être bien clair, je préfère utiliser Signal que Whatsapp, et Whatsapp que Telegram. en fait je n’utiliserai jamais Telegram. limite je préfère le SMS en fait. ^^

votre avatar

Si c’est Facebook qui vous le dit c’est que c’est vrai .

votre avatar

whatsapp est régulièrement pentesté, audité (la preuve des gens découvrent des failles), utilise un protocole de chiffrement qui est une référence (le Signal protocol).

effectivement Telegram y’a pas besoin, c’est pas chiffré nativement, tout le monde sait que les données se baladent en clair sur les serveurs au 4 coins de la planète.

mais c’est mieux parce que c’est intégralement offert par un milliardaire Russe, la main sur le coeur.



comme c’est mignon. <img data-src=" />

votre avatar

C’est la peste ou le choléra là, si t’es soucieux de la sécurité/vie privée regarde plutôt du côté de signal, silence, tox, riot ou autres mais défendre telegram face à whatsapp je vois pas comment c’est possible.

votre avatar

Ya que Signal qui est valable dans ta liste. Les autres chient tous des metadata à qui n’en veut, niveau vie privée c’est 0, même si personne peut lire le contenu des messages. Et c’est en particulier vrai pour Telegram, qui n’est en + pas chiffré par défaut.



Ya que Signal qui est crédible pour protéger la vie privée.









hellmut a écrit :



whatsapp est régulièrement pentesté, audité (la preuve des gens découvrent des failles), utilise un protocole de chiffrement qui est une référence (le Signal protocol).

effectivement Telegram y’a pas besoin, c’est pas chiffré nativement, tout le monde sait que les données se baladent en clair sur les serveurs au 4 coins de la planète.

mais c’est mieux parce que c’est intégralement offert par un milliardaire Russe, la main sur le coeur.



comme c’est mignon. <img data-src=" />







Je suis plutôt d’accord avec toi, mais vu que le client n’est pas opensource, la sécurité annoncée n’a absolument aucune valeur. Ils ont beau auditer leurs serveurs ou leur code source, qu’est ce qui te garantie qu’ils distribuent ce qu’ils font auditer ? Rien du tout.


votre avatar

le souci c’est qu’à un moment donné t’es le seul nerd à l’utiliser.

j’ai bien réussi à convertir des potes à Signal, mais le gros du troupeau est sur whatsapp.

ça me gave, mais moins que s’ils étaient sur Telegram.<img data-src=" />

votre avatar

rien effectivement, mais je parle pas forcément des tests internes autorisés par whatsapp.

tu peux aussi appliquer ce raisonnement à tous les autres sur la partie serveur.

mais sauf à tout implémenter et déployer soi-même sur un serveur que tu contrôles (y compris physiquement), tu ne pourras jamais prouver une sécu parfaite.

à ce moment là il faudrait basculer sur wire, qui permet de déployer sur un serveur maison.



Tout est une question de curseur sécurité/usabilité et de modèle de menace, mais prétendre que Telegram c’est “mieux” que whatsapp car c’est pas Zuck, c’est une connerie.

votre avatar

Techniquement on s’en fout du serveur, c’est l’intérêt du protocole Signal, tout est chiffré, le serveur ne peut pas lire le contenu du message, donc on a pas à faire confiance au serveur, c’est parfait.



La seule chose qu’on doit pouvoir auditer, c’est l’implémentation du protocole signal par whatsapp, donc on devrait pouvoir accéder au code source du client whatsapp, sinon leur sécurité ne vaut absolument rien, et c’est le cas.



Pour les métadonnées, il n’y a pas le choix, c’est une question de confiance. Il vaut mieux qu’elles soient centralisées, car un seul acteur y a accès, ça facilite leur effacement, mais on repose entièrement sur l’acteur en question.

votre avatar

Et pour me faire l’avocat du diable, le client de Telegram est opensource, donc réellement auditable. On peut considérer que les conversations e2e sur Telegram sont sécurisées (le contenu), alors que whatsapp 0

votre avatar

avec leur protocole maison pas audité? j’ai quelques doutes quand même.

quant aux 4 conversations sécurisées en 1 to 1, je ris. autant utiliser Silence.

le but c’est quand même de faire des conversations groupées.

votre avatar







hellmut a écrit :



avec leur protocole maison pas audité? j’ai quelques doutes quand même.

quant aux 4 conversations sécurisées en 1 to 1, je ris. autant utiliser Silence.

le but c’est quand même de faire des conversations groupées.







Leur protocole n’est peut être pas sécurisé parce que pas audité certes. Sauf que leur client est auditable, alors que pas celui de whatsapp.



On peut pas se permettre de dire que Whatsapp est sécurisé, car on ne peut pas l’auditer. Si ils te distribuent une version backdooré exprès pour toi, quel moyen tu as de le savoir ? Aucun. Avec Telegram si.



La sécurité ne repose pas sur la confiance, on ne peut même pas dire que whatsapp est chiffré, on en sait rien, tout n’est que déclaration.


votre avatar

Pas de patch pour iOS ou Android ?

Même si la faille se situait dans l’app, aucune difficulté pour accéder au micro ou l’appareil photo ?

votre avatar

on se fout pas du serveur sur la question des metadata ni sur la découverte des contacts, qui est tout l’avantage de ces applis (pas besoin que chacun ajoute ses contacts à la main), ça a d’ailleurs fait l’objet d’un gros papier de Moxie à ce propos pour Signal.

votre avatar

ben je préfère la déclaration du mec qui dit qu’il chiffre, et que personne n’a jusqu’ici contredit, au mec qui se fait mousser en prétendant sauver la planète, et qui stocke tout sur ses serveurs. le tout généreusement offert.

votre avatar

si y’a un correctif android. je suis sur la 139 par exemple.

votre avatar







marba a écrit :



On peut pas se permettre de dire que Whatsapp est sécurisé, car on ne peut pas l’auditer. Si ils te distribuent une version backdooré exprès pour toi, quel moyen tu as de le savoir ? Aucun. Avec Telegram si.





avec telegram suffit d’avoir un accès au serveur, jusqu’à preuve du contraire. donc l’intérêt de backdoorer l’appli…


votre avatar

Même avec une application open source, tu n’a pas de garantie que le binaire que tu reçois est identique à une version précise des sources, à moins que tu ne compiles toi-même.

votre avatar







hellmut a écrit :



ben je préfère la déclaration du mec qui dit qu’il chiffre, et que personne n’a jusqu’ici contredit, au mec qui se fait mousser en prétendant sauver la planète, et qui stocke tout sur ses serveurs. le tout généreusement offert.







Facebook peut faire auditer ses serveurs quand ils veulent, ça n’a aucune valeur. C’est le client qui doit être auditable.



Pour Telegram je parle de leur fonction e2e, évidemment que leu mode par défaut en clair est une totale aberration, mais bon… Mais sinon tu peux vérifier que ton client a le bon comportement.



Bref, il ne faut faire confiance à personne, pas même Moxie. Seul la technique compte en sécurité.


votre avatar







dolphin42 a écrit :



Même avec une application open source, tu n’a pas de garantie que le binaire que tu reçois est identique à une version précise des sources, à moins que tu ne compiles toi-même.







Ah je dis pas que avoir accès au code source implique que tu ne peux pas te faire distribuer un binaire autre. Mais la seule façon - en tout cas réaliste - de vérifier le comportement d’un binaire distribué, est d’avoir accès au code source.


votre avatar







marba a écrit :



Bref, il ne faut faire confiance à personne, pas même Moxie. Seul la technique compte en sécurité.





c’est bien ce que je dis, spa moi qui ai commencé cette histoire de confiance. <img data-src=" />


votre avatar

Sinon il y a Threema, messagerie développée par une société suisse avec des serveurs dans le même pays.



Anonymat (pas besoin d’un numéro de téléphone ou d’un email), chiffrement E2E, de nombreuses fonctionnalités, sécurité bien pensée (cf. le white paper)… mais un point noir : code source fermé. Par contre, le protocole de chiffrement E2E est auditable par tous, histoire de voir que l’implémentation du client corresponde bien à ce qui est annoncé…



Ah oui et c’est payant aussi, mais payer 3 euros une fois, ce n’est rien. Au moins leur business model est clair, pas comment certains concurrents…

votre avatar

non c’est une preuve de rien du tout.

d’ailleurs les mecs se font régulièrement poutrer par les SR parce qu’ils pensent être à l’abri.

votre avatar

Et le fait que ce soit utilisé par des organisations comme ça fait que c’est surveillé de très près par les sr et probablement déjà compromis.

votre avatar

Sans doute, oui.

Le fait que ça soit pas chiffré par défaut doit quand même aider beaucoup. ^^

WhatsApp bouche une faille qui a permis l’installation de logiciels espions avec un simple appel

Fermer