WhatsApp : un bug permet de passer outre l’option « View Once »

Par Mathilde Saliou

Le 10 septembre à 09h45
Sécurité
2 min

Application de messagerie chiffrée de bout-en-bout la plus populaire, WhatsApp permet à ses plus de deux milliards d’utilisateurs d’envoyer des images et des sons qui disparaissent juste après avoir été lus.

Un bug dans la version desktop de l’application permet cela dit de contourner la fonctionnalité nommée « View Once », lancée en 2021 et disponible sur les versions Android et iOS de l’application.

Plus précisément, ce dysfonctionnement repéré par le chercheur en cybersécurité Tala Be’ery permet aux récipiendaires mal intentionnés d’afficher et de sauvegarder les éléments qui leur sont envoyés. 


Théoriquement, lorsqu’ils reçoivent un message « View Once », les utilisateurs de l’application desktop devraient recevoir une notification les informant qu’ils ne peuvent l’ouvrir que depuis un téléphone.

En précaution supplémentaire, WhatsApp empêche les captures et enregistrements d’écran au moment de l’affichage d’un « View Once » sur ses applications Android et iOS.

Auprès de TechCrunch, Meta a indiqué travailler à des mises à jour permettant d’utiliser View Once sur le web. Et d’encourager « les utilisateurs à n’envoyer des messages en View Once qu’à des personnes qu’ils connaissent, et en lesquelles ils ont confiance ».

Commentaires (16)


alex.d. Abonné
Le 10/09/2024 à 10h13
À quoi ça sert ce "view once" ?
Altkorniator
Le 10/09/2024 à 10h26
À envoyer un message ou photo qui s'auto-détruira après lecture (à la snapshat).

Utile pour ne pas saturer le stockage et l'historique avec des photos de liste de courses, de « Je suis à la boulangerie, tu veux quoi comme sandwich ? », photo de l'écran SNCF « je serai en retard », etc.
alex.d. Abonné
Le 10/09/2024 à 11h35

Altkorniator

À envoyer un message ou photo qui s'auto-détruira après lecture (à la snapshat).

Utile pour ne pas saturer le stockage et l'historique avec des photos de liste de courses, de « Je suis à la boulangerie, tu veux quoi comme sandwich ? », photo de l'écran SNCF « je serai en retard », etc.
Une liste de course qui ne s'auto-détruit pas, ça vaut une news ?
fred42 Abonné
Le 10/09/2024 à 13h38

alex.d.

Une liste de course qui ne s'auto-détruit pas, ça vaut une news ?
C'est aussi utilisé pour échanger des messages écrits ou vocaux, des photos que l'on n'a pas envie de voir circuler ensuite. Tu peux imaginer tout ce que tu veux ici, mais une utilisation de nature sexuelle est possible. Ça vaut une brève maintenant ?
alex.d. Abonné
Le 10/09/2024 à 14h12

fred42

C'est aussi utilisé pour échanger des messages écrits ou vocaux, des photos que l'on n'a pas envie de voir circuler ensuite. Tu peux imaginer tout ce que tu veux ici, mais une utilisation de nature sexuelle est possible. Ça vaut une brève maintenant ?
Les trucs qu'on ne veut pas voir circuler, il vaut mieux ne pas les envoyer. Non seulement l'appli peut avoir un bug et ne pas détruire le message, mais le destinataire peut aussi faire une copie non-autorisée, par exemple en prenant l'écran en photo.
Je suis tout-à-fait sérieux quand je dis que je ne vois pas quel message/image doit pouvoir être envoyé et affiché une fois, mais ne doit pas pouvoir être affiché plusieurs fois.
fred42 Abonné
Le 10/09/2024 à 14h21

alex.d.

Les trucs qu'on ne veut pas voir circuler, il vaut mieux ne pas les envoyer. Non seulement l'appli peut avoir un bug et ne pas détruire le message, mais le destinataire peut aussi faire une copie non-autorisée, par exemple en prenant l'écran en photo.
Je suis tout-à-fait sérieux quand je dis que je ne vois pas quel message/image doit pouvoir être envoyé et affiché une fois, mais ne doit pas pouvoir être affiché plusieurs fois.
Je suis tout-à-fait sérieux quand je dis que je ne vois pas quel message/image doit pouvoir être envoyé et affiché une fois, mais ne doit pas pouvoir être affiché plusieurs fois.


Tu l'as écrit où, ça avant ce commentaire ?

Pour le reste, on est d'accord et WhatsApp aussi : ils préviennent des risques dans leur FAQ et conseillent de n'envoyer qu'à des personnes de confiance et disent que l'on peut prendre une photo ou pour les messages audios qu'ils peuvent être enregistrés sous Androïd.
neod Abonné
Le 10/09/2024 à 12h31

Altkorniator

À envoyer un message ou photo qui s'auto-détruira après lecture (à la snapshat).

Utile pour ne pas saturer le stockage et l'historique avec des photos de liste de courses, de « Je suis à la boulangerie, tu veux quoi comme sandwich ? », photo de l'écran SNCF « je serai en retard », etc.
tu as mal écrit "je serai tout nu(e)"
Jarodd Abonné
Le 10/09/2024 à 10h25
ce dysfonctionnement [...] permet aux récipiendaires mal intentionnés d’afficher et de sauvegarder les éléments qui leur sont envoyés.


Est-ce à dire que le contenu est conservé sur les serveurs, même si on ne peut plus l'afficher ?
Altkorniator
Le 10/09/2024 à 10h27
Je verrai plutôt un truc style le cache local de l'appli qui n'est pas nettoyé correctement...
fred42 Abonné
Le 10/09/2024 à 10h32
Le contenu est conservé 2 jours sur les serveurs mais il me semble aussi conservé en local une fois lu si tu as utilisé la faille pour désactiver le view once
fred42 Abonné
Le 10/09/2024 à 10h36

fred42

Le contenu est conservé 2 jours sur les serveurs mais il me semble aussi conservé en local une fois lu si tu as utilisé la faille pour désactiver le view once
@Jarodd
On peut lire dans leur FAQ :
Les médias chiffrés peuvent être stockés pendant quelques semaines sur les serveurs de WhatsApp après que vous les avez envoyés.
Si un·e destinataire choisit de signaler un média à vue unique ou un message vocal à écoute unique, celui-ci sera fourni à WhatsApp. En savoir plus sur le signalement de messages.


C'est donc parfaitement documenté.
Gilbert_Gosseyn Abonné
Le 10/09/2024 à 13h45
Clairement, oui.
fred42 Abonné
Le 10/09/2024 à 10h29
Un bug dans la version desktop de l’application permet cela dit de contourner la fonctionnalité nommée « View Once »


C'est plus compliqué que cela.

Leur fonction est buguée par conception. Il est facile d'attaquer la fonction sur une web app sur desktop avec par exemple une extention mais le bug est global. Il y a d'ailleurs moyen de patcher la version Android de l'App pour afficher plusieurs fois ces messages.

Comme le disent les découvreurs de la faille :
To actually solve this issue, WhatsApp needs to apply a proper Digital Rights Management (DRM) solution that also verifies there is hardware support in place for such DRM. Such frameworks are provided by Android and iOS and other modern Operating Systems.
Altkorniator
Le 10/09/2024 à 14h56
« To actually solve this issue »

Ils peuvent implémenter tout ce qu'ils veulent dans l'appli, je rejoins d'autres commentaires: rien n'empêchera de prendre en photo l'écran avec un autre smartphone ou Reflex, ni d'écouter un vocal avec un dictaphone allumé à côté.

Si c'est sensible, ne pas l'envoyer, point. L'auto-destruction des messages est vraiment, pour moi, un moyen de ne pas avoir à faire le ménage a posteriori dans ses converstations 'futiles' du quotidien et n'aura jamais vocation à se protéger de la diffusion de ses nudes (Snapshat, avec sa pléthore "d'astuces" pour contourner l'affichage unique, en est l'exemple typique !!).
Pinailleur Abonné
Le 10/09/2024 à 17h30

Altkorniator

« To actually solve this issue »

Ils peuvent implémenter tout ce qu'ils veulent dans l'appli, je rejoins d'autres commentaires: rien n'empêchera de prendre en photo l'écran avec un autre smartphone ou Reflex, ni d'écouter un vocal avec un dictaphone allumé à côté.

Si c'est sensible, ne pas l'envoyer, point. L'auto-destruction des messages est vraiment, pour moi, un moyen de ne pas avoir à faire le ménage a posteriori dans ses converstations 'futiles' du quotidien et n'aura jamais vocation à se protéger de la diffusion de ses nudes (Snapshat, avec sa pléthore "d'astuces" pour contourner l'affichage unique, en est l'exemple typique !!).
Outre la photo d'un écran, je suis convainvu qu'un appareil rooté ou jailbreaké peut tout à fait copier ces images.
luxian Abonné
Le 15/09/2024 à 16h10
Les procédés de vue unique devraient être interdits !
Ils trompent leurs utilisateurs sur la fourniture d'une maîtrise par leur seule volonté des informations qu'ils transfèrent.

Rien ne garanti que l'application ne conserve pas de copie, et encore moins que le destinataire ne prendra pas une copie du document/photo partagé par une procédé sur lequel l'application n'a aucune capacité d'action (simplement prendre le téléphone en photo !!).

Seul l'éducation peut y faire quelque chose ...
Du style :
"Non ! Même en view-once, t'envoies pas de nude à ton petit copain !
Ta mère m'a fait ça et depuis, je la tiens encore !
Petite vicieuse, va !"
Fermer