Initialement rapportée par le Financial Times, la vulnérabilité a depuis été confirmée par Facebook. Pour être exploité, il suffisait de lancer un appel et la cible n'avait même pas besoin de répondre. Bien évidemment, elle a été rapidement bouchée.
Toutes les applications de la messagerie sont touchées : les versions antérieures à la v2.19.134 sur Android, v2.19.44 pour Android Business et v2.19.51 pour iOS (y compris Business).
La messagerie instantanée ajoute que des utilisateurs ont été ciblés par un attaquant de haut niveau, une société privée collaborant avec des gouvernements, sans donner plus de détails. Selon nos confrères, le logiciel espion avait été développé par la société israélienne NSO Group.
Cette dernière indique à Mashable enquêter sur cette affaire. Elle rappelle que sa technologie est « concédée sous licence à des organismes gouvernementaux agréés dans le seul but de lutter contre le crime et le terrorisme », et qu'elle ne doit pas être utilisée « pour cibler des personnes ou une organisation ».
Commentaires (40)
#1
Elle rappelle que sa technologie est « concédée sous licence à des organismes gouvernementaux agréés dans le seul but de lutter contre le crime et le terrorisme », et qu’elle ne doit pas être utilisée « pour cibler des personnes ou une organisation ».
Comme chaque gouvernement a sa définition propre du crime et du terrorisme, c’est assez pratique en effet.
On se rappellera des Eagle (les “stylos” de Philippe Vannier) d’Amesys déployés en Libye pour lutter contre les fameux pédophiles libyens.
NSO sait très bien à quoi vont servir ses outils en fonction du client.
Quand elle vend Pegasus à l’Arabie Saoudite, elle se doute bien qu’il ne va pas être utilisé aux mêmes fins qu’en Suisse (par exemple). Donc les justifications légales à 2 balles, ça va bien 2 minutes.
On est quand même heureux que CitizenLab existe. ils font un boulot monstrueux et salutaire. Sans eux on entendrait pas parler d’NSO.
NSO qui a récemment tenté de les piéger via l’officine de renseignement privée Black Cube (Israélienne aussi).
C’est des gentils, NSO, faut pas croire les merdias.
#2
#3
oui j’ai aussi identifié cette contradiction. ^^
mais bon en gros leur propos c’est que c’est une techno pour cible les méchants, et que c’est pas à eux de déterminer qui sont les méchants.
C’est pas complètement faux, mais c’est quand même à eux de faire la part des choses entre les gens à qui ils vendent.
#4
Disons que c’est le dilemme du marchand d’arme…
#5
Backdoor ?
#6
Donc les criminels ne sont pas des personnes?? Je crois que l’universalité des droits de l’homme vient d’en prendre un coup.
#7
Ça fait un baille que je n’utilise pas “WhatsApp” , il y a bien mieux maintenant “Télégramme”
#8
J’espère que c’est de l’ironie
" />
#9
#10
On parle pas de la même chose.
Whatsapp chiffre automatiquement de bout en bout tous les échanges (hors metadata), ce que je fait pas Telegram.
#11
non, à priori une faille dans l’implémentation du protocole SRTP qui gère l’échange de paquets en temps réel.
en plus whatsapp pour gagner du temps active ce protocole pendant que ça sonne (ça évite d’attendre après avoir décroché), du coup comme indiqué y’a pas besoin de décrocher pour exploiter la faille.
Comme après ça donne accès à tout, l’attaquant peut modifier les logs pour effacer l’appel et passer inaperçu.
un bel exploit en tout cas. c’est pas des quiches chez NSO.
j’ai aussi vu que les gars de Google Project Zero s’étaient penchés sur le sujet y’a quelques mois mais n’avaient pas vu le souci (je sais pas pour quelle raison par contre, pas eu le temps de trop regarder).
#12
#13
#14
heu ok.
alors Telegram a accès aux métadonnées et au contenu de tes échanges (en gros, tout).
facebook sur whatsapp n’a accès “que” aux metadonnées.
je te laisse en tirer les conclusions.
#15
Facebook se finance grâce à la pub et aux données utilisateurs, Telegram est à but non-lucratif et financé par un milliardaire qui a fuit la Russie parce qu’il n’était pas très coopératif avec les autorités et a voulu cet outil pour les gens comme lui.
C’est comme dire qu’il vaut mieux avoir ses e-mails chiffrés chez Gmail que non-chiffrés chez Gandi. Peu importe à quelles données ils ont accès s’ils n’ont absolument rien à faire avec.
#16
en fait le but c’est de ne faire confiance à personne, ni à Zuckerberg, ni à Durov (si t’as confiance en Durov, tant mieux pour toi, c’est pas mon cas).
" />
et un truc super pratique pour ça, c’est de chiffrer ses communications.
du coup effectivement, je préfère utiliser whatsapp et que Zuck ait juste accès à mes metadata, que de me balader à oilpé sur Telegram et que Durov en fasse ce que bon lui semble.
ça vaut aussi pour ton exemple Gmail/Gandi au fait. ^^^
du coup je suis chez ProtonMail.
edit: en passant je vois que la com’ de Durov se présentant comme le chevalier blanc du chat fonctionne.
on se demande pourquoi il n’a pas fait comme tout le monde, et adopté le chiffrement de bout en bout du coup, puisqu’il est si génial.
reedit: pour être bien clair, je préfère utiliser Signal que Whatsapp, et Whatsapp que Telegram. en fait je n’utiliserai jamais Telegram. limite je préfère le SMS en fait. ^^
#17
Si c’est Facebook qui vous le dit c’est que c’est vrai .
#18
whatsapp est régulièrement pentesté, audité (la preuve des gens découvrent des failles), utilise un protocole de chiffrement qui est une référence (le Signal protocol).
" />
effectivement Telegram y’a pas besoin, c’est pas chiffré nativement, tout le monde sait que les données se baladent en clair sur les serveurs au 4 coins de la planète.
mais c’est mieux parce que c’est intégralement offert par un milliardaire Russe, la main sur le coeur.
comme c’est mignon.
#19
C’est la peste ou le choléra là, si t’es soucieux de la sécurité/vie privée regarde plutôt du côté de signal, silence, tox, riot ou autres mais défendre telegram face à whatsapp je vois pas comment c’est possible.
#20
Ya que Signal qui est valable dans ta liste. Les autres chient tous des metadata à qui n’en veut, niveau vie privée c’est 0, même si personne peut lire le contenu des messages. Et c’est en particulier vrai pour Telegram, qui n’est en + pas chiffré par défaut.
Ya que Signal qui est crédible pour protéger la vie privée.
#21
le souci c’est qu’à un moment donné t’es le seul nerd à l’utiliser.
" />
j’ai bien réussi à convertir des potes à Signal, mais le gros du troupeau est sur whatsapp.
ça me gave, mais moins que s’ils étaient sur Telegram.
#22
rien effectivement, mais je parle pas forcément des tests internes autorisés par whatsapp.
tu peux aussi appliquer ce raisonnement à tous les autres sur la partie serveur.
mais sauf à tout implémenter et déployer soi-même sur un serveur que tu contrôles (y compris physiquement), tu ne pourras jamais prouver une sécu parfaite.
à ce moment là il faudrait basculer sur wire, qui permet de déployer sur un serveur maison.
Tout est une question de curseur sécurité/usabilité et de modèle de menace, mais prétendre que Telegram c’est “mieux” que whatsapp car c’est pas Zuck, c’est une connerie.
#23
Techniquement on s’en fout du serveur, c’est l’intérêt du protocole Signal, tout est chiffré, le serveur ne peut pas lire le contenu du message, donc on a pas à faire confiance au serveur, c’est parfait.
La seule chose qu’on doit pouvoir auditer, c’est l’implémentation du protocole signal par whatsapp, donc on devrait pouvoir accéder au code source du client whatsapp, sinon leur sécurité ne vaut absolument rien, et c’est le cas.
Pour les métadonnées, il n’y a pas le choix, c’est une question de confiance. Il vaut mieux qu’elles soient centralisées, car un seul acteur y a accès, ça facilite leur effacement, mais on repose entièrement sur l’acteur en question.
#24
Et pour me faire l’avocat du diable, le client de Telegram est opensource, donc réellement auditable. On peut considérer que les conversations e2e sur Telegram sont sécurisées (le contenu), alors que whatsapp 0
#25
avec leur protocole maison pas audité? j’ai quelques doutes quand même.
quant aux 4 conversations sécurisées en 1 to 1, je ris. autant utiliser Silence.
le but c’est quand même de faire des conversations groupées.
#26
#27
Pas de patch pour iOS ou Android ?
Même si la faille se situait dans l’app, aucune difficulté pour accéder au micro ou l’appareil photo ?
#28
on se fout pas du serveur sur la question des metadata ni sur la découverte des contacts, qui est tout l’avantage de ces applis (pas besoin que chacun ajoute ses contacts à la main), ça a d’ailleurs fait l’objet d’un gros papier de Moxie à ce propos pour Signal.
#29
ben je préfère la déclaration du mec qui dit qu’il chiffre, et que personne n’a jusqu’ici contredit, au mec qui se fait mousser en prétendant sauver la planète, et qui stocke tout sur ses serveurs. le tout généreusement offert.
#30
si y’a un correctif android. je suis sur la 139 par exemple.
#31
#32
Même avec une application open source, tu n’a pas de garantie que le binaire que tu reçois est identique à une version précise des sources, à moins que tu ne compiles toi-même.
#33
#34
#35
#36
Sinon il y a Threema, messagerie développée par une société suisse avec des serveurs dans le même pays.
Anonymat (pas besoin d’un numéro de téléphone ou d’un email), chiffrement E2E, de nombreuses fonctionnalités, sécurité bien pensée (cf. le white paper)… mais un point noir : code source fermé. Par contre, le protocole de chiffrement E2E est auditable par tous, histoire de voir que l’implémentation du client corresponde bien à ce qui est annoncé…
Ah oui et c’est payant aussi, mais payer 3 euros une fois, ce n’est rien. Au moins leur business model est clair, pas comment certains concurrents…
#37
non c’est une preuve de rien du tout.
d’ailleurs les mecs se font régulièrement poutrer par les SR parce qu’ils pensent être à l’abri.
#38
Et le fait que ce soit utilisé par des organisations comme ça fait que c’est surveillé de très près par les sr et probablement déjà compromis.
#39
Sans doute, oui.
Le fait que ça soit pas chiffré par défaut doit quand même aider beaucoup. ^^