WhatsApp bouche une faille qui a permis l’installation de logiciels espions avec un simple appel
Le 14 mai 2019 à 09h43
1 min
Logiciel
Logiciel
Initialement rapportée par le Financial Times, la vulnérabilité a depuis été confirmée par Facebook. Pour être exploité, il suffisait de lancer un appel et la cible n'avait même pas besoin de répondre. Bien évidemment, elle a été rapidement bouchée.
Toutes les applications de la messagerie sont touchées : les versions antérieures à la v2.19.134 sur Android, v2.19.44 pour Android Business et v2.19.51 pour iOS (y compris Business).
La messagerie instantanée ajoute que des utilisateurs ont été ciblés par un attaquant de haut niveau, une société privée collaborant avec des gouvernements, sans donner plus de détails. Selon nos confrères, le logiciel espion avait été développé par la société israélienne NSO Group.
Cette dernière indique à Mashable enquêter sur cette affaire. Elle rappelle que sa technologie est « concédée sous licence à des organismes gouvernementaux agréés dans le seul but de lutter contre le crime et le terrorisme », et qu'elle ne doit pas être utilisée « pour cibler des personnes ou une organisation ».
Le 14 mai 2019 à 09h43
Commentaires (39)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 14/05/2019 à 08h56
Elle rappelle que sa technologie est « concédée sous licence à des organismes gouvernementaux agréés dans le seul but de lutter contre le crime et le terrorisme », et qu’elle ne doit pas être utilisée « pour cibler des personnes ou une organisation ».
Comme chaque gouvernement a sa définition propre du crime et du terrorisme, c’est assez pratique en effet.
On se rappellera des Eagle (les “stylos” de Philippe Vannier) d’Amesys déployés en Libye pour lutter contre les fameux pédophiles libyens.
NSO sait très bien à quoi vont servir ses outils en fonction du client.
Quand elle vend Pegasus à l’Arabie Saoudite, elle se doute bien qu’il ne va pas être utilisé aux mêmes fins qu’en Suisse (par exemple). Donc les justifications légales à 2 balles, ça va bien 2 minutes.
On est quand même heureux que CitizenLab existe. ils font un boulot monstrueux et salutaire. Sans eux on entendrait pas parler d’NSO.
NSO qui a récemment tenté de les piéger via l’officine de renseignement privée Black Cube (Israélienne aussi).
C’est des gentils, NSO, faut pas croire les merdias. " />
Le 14/05/2019 à 09h36
Le 14/05/2019 à 09h48
oui j’ai aussi identifié cette contradiction. ^^
mais bon en gros leur propos c’est que c’est une techno pour cible les méchants, et que c’est pas à eux de déterminer qui sont les méchants.
C’est pas complètement faux, mais c’est quand même à eux de faire la part des choses entre les gens à qui ils vendent.
Le 14/05/2019 à 10h02
Disons que c’est le dilemme du marchand d’arme…
Le 14/05/2019 à 10h23
Backdoor ?
Le 14/05/2019 à 10h48
Donc les criminels ne sont pas des personnes?? Je crois que l’universalité des droits de l’homme vient d’en prendre un coup.
Le 14/05/2019 à 11h38
Ça fait un baille que je n’utilise pas “WhatsApp” , il y a bien mieux maintenant “Télégramme”
Le 14/05/2019 à 11h46
J’espère que c’est de l’ironie " />
Le 14/05/2019 à 11h52
Le 14/05/2019 à 12h40
On parle pas de la même chose.
Whatsapp chiffre automatiquement de bout en bout tous les échanges (hors metadata), ce que je fait pas Telegram.
Le 14/05/2019 à 12h49
non, à priori une faille dans l’implémentation du protocole SRTP qui gère l’échange de paquets en temps réel.
en plus whatsapp pour gagner du temps active ce protocole pendant que ça sonne (ça évite d’attendre après avoir décroché), du coup comme indiqué y’a pas besoin de décrocher pour exploiter la faille.
Comme après ça donne accès à tout, l’attaquant peut modifier les logs pour effacer l’appel et passer inaperçu.
un bel exploit en tout cas. c’est pas des quiches chez NSO.
j’ai aussi vu que les gars de Google Project Zero s’étaient penchés sur le sujet y’a quelques mois mais n’avaient pas vu le souci (je sais pas pour quelle raison par contre, pas eu le temps de trop regarder).
Le 14/05/2019 à 12h50
Le 14/05/2019 à 12h58
Le 14/05/2019 à 13h11
heu ok.
alors Telegram a accès aux métadonnées et au contenu de tes échanges (en gros, tout).
facebook sur whatsapp n’a accès “que” aux metadonnées.
je te laisse en tirer les conclusions.
Modifié le 09/12/2024 à 21h45
Le 14/05/2019 à 13h47
en fait le but c’est de ne faire confiance à personne, ni à Zuckerberg, ni à Durov (si t’as confiance en Durov, tant mieux pour toi, c’est pas mon cas).
et un truc super pratique pour ça, c’est de chiffrer ses communications.
du coup effectivement, je préfère utiliser whatsapp et que Zuck ait juste accès à mes metadata, que de me balader à oilpé sur Telegram et que Durov en fasse ce que bon lui semble.
ça vaut aussi pour ton exemple Gmail/Gandi au fait. ^^^
du coup je suis chez ProtonMail." />
edit: en passant je vois que la com’ de Durov se présentant comme le chevalier blanc du chat fonctionne.
on se demande pourquoi il n’a pas fait comme tout le monde, et adopté le chiffrement de bout en bout du coup, puisqu’il est si génial.
reedit: pour être bien clair, je préfère utiliser Signal que Whatsapp, et Whatsapp que Telegram. en fait je n’utiliserai jamais Telegram. limite je préfère le SMS en fait. ^^
Le 14/05/2019 à 14h17
Si c’est Facebook qui vous le dit c’est que c’est vrai .
Le 14/05/2019 à 14h36
whatsapp est régulièrement pentesté, audité (la preuve des gens découvrent des failles), utilise un protocole de chiffrement qui est une référence (le Signal protocol).
effectivement Telegram y’a pas besoin, c’est pas chiffré nativement, tout le monde sait que les données se baladent en clair sur les serveurs au 4 coins de la planète.
mais c’est mieux parce que c’est intégralement offert par un milliardaire Russe, la main sur le coeur.
comme c’est mignon. " />
Le 14/05/2019 à 15h16
C’est la peste ou le choléra là, si t’es soucieux de la sécurité/vie privée regarde plutôt du côté de signal, silence, tox, riot ou autres mais défendre telegram face à whatsapp je vois pas comment c’est possible.
Le 14/05/2019 à 15h31
Ya que Signal qui est valable dans ta liste. Les autres chient tous des metadata à qui n’en veut, niveau vie privée c’est 0, même si personne peut lire le contenu des messages. Et c’est en particulier vrai pour Telegram, qui n’est en + pas chiffré par défaut.
Ya que Signal qui est crédible pour protéger la vie privée.
Le 14/05/2019 à 15h32
le souci c’est qu’à un moment donné t’es le seul nerd à l’utiliser.
j’ai bien réussi à convertir des potes à Signal, mais le gros du troupeau est sur whatsapp.
ça me gave, mais moins que s’ils étaient sur Telegram." />
Le 14/05/2019 à 15h37
rien effectivement, mais je parle pas forcément des tests internes autorisés par whatsapp.
tu peux aussi appliquer ce raisonnement à tous les autres sur la partie serveur.
mais sauf à tout implémenter et déployer soi-même sur un serveur que tu contrôles (y compris physiquement), tu ne pourras jamais prouver une sécu parfaite.
à ce moment là il faudrait basculer sur wire, qui permet de déployer sur un serveur maison.
Tout est une question de curseur sécurité/usabilité et de modèle de menace, mais prétendre que Telegram c’est “mieux” que whatsapp car c’est pas Zuck, c’est une connerie.
Le 14/05/2019 à 15h44
Techniquement on s’en fout du serveur, c’est l’intérêt du protocole Signal, tout est chiffré, le serveur ne peut pas lire le contenu du message, donc on a pas à faire confiance au serveur, c’est parfait.
La seule chose qu’on doit pouvoir auditer, c’est l’implémentation du protocole signal par whatsapp, donc on devrait pouvoir accéder au code source du client whatsapp, sinon leur sécurité ne vaut absolument rien, et c’est le cas.
Pour les métadonnées, il n’y a pas le choix, c’est une question de confiance. Il vaut mieux qu’elles soient centralisées, car un seul acteur y a accès, ça facilite leur effacement, mais on repose entièrement sur l’acteur en question.
Le 14/05/2019 à 15h46
Et pour me faire l’avocat du diable, le client de Telegram est opensource, donc réellement auditable. On peut considérer que les conversations e2e sur Telegram sont sécurisées (le contenu), alors que whatsapp 0
Le 14/05/2019 à 15h50
avec leur protocole maison pas audité? j’ai quelques doutes quand même.
quant aux 4 conversations sécurisées en 1 to 1, je ris. autant utiliser Silence.
le but c’est quand même de faire des conversations groupées.
Le 14/05/2019 à 15h54
Le 14/05/2019 à 15h56
Pas de patch pour iOS ou Android ?
Même si la faille se situait dans l’app, aucune difficulté pour accéder au micro ou l’appareil photo ?
Le 14/05/2019 à 15h59
on se fout pas du serveur sur la question des metadata ni sur la découverte des contacts, qui est tout l’avantage de ces applis (pas besoin que chacun ajoute ses contacts à la main), ça a d’ailleurs fait l’objet d’un gros papier de Moxie à ce propos pour Signal.
Le 14/05/2019 à 16h01
ben je préfère la déclaration du mec qui dit qu’il chiffre, et que personne n’a jusqu’ici contredit, au mec qui se fait mousser en prétendant sauver la planète, et qui stocke tout sur ses serveurs. le tout généreusement offert.
Le 14/05/2019 à 16h02
si y’a un correctif android. je suis sur la 139 par exemple.
Le 14/05/2019 à 16h03
Le 14/05/2019 à 16h04
Même avec une application open source, tu n’a pas de garantie que le binaire que tu reçois est identique à une version précise des sources, à moins que tu ne compiles toi-même.
Le 14/05/2019 à 16h10
Le 14/05/2019 à 16h12
Le 14/05/2019 à 16h22
Le 15/05/2019 à 06h34
Sinon il y a Threema, messagerie développée par une société suisse avec des serveurs dans le même pays.
Anonymat (pas besoin d’un numéro de téléphone ou d’un email), chiffrement E2E, de nombreuses fonctionnalités, sécurité bien pensée (cf. le white paper)… mais un point noir : code source fermé. Par contre, le protocole de chiffrement E2E est auditable par tous, histoire de voir que l’implémentation du client corresponde bien à ce qui est annoncé…
Ah oui et c’est payant aussi, mais payer 3 euros une fois, ce n’est rien. Au moins leur business model est clair, pas comment certains concurrents…
Le 15/05/2019 à 07h39
non c’est une preuve de rien du tout.
d’ailleurs les mecs se font régulièrement poutrer par les SR parce qu’ils pensent être à l’abri.
Le 15/05/2019 à 08h02
Et le fait que ce soit utilisé par des organisations comme ça fait que c’est surveillé de très près par les sr et probablement déjà compromis.
Le 15/05/2019 à 08h36
Sans doute, oui.
Le fait que ça soit pas chiffré par défaut doit quand même aider beaucoup. ^^