Une faille de confidentialité dans WhatsApp, une messagerie instantanée comptant plus de 2 milliards d’utilisateurs dans le monde, est exploitée par des attaquants pour contourner la fonction « Afficher une fois » de l’application et afficher à nouveau les messages.
Meta dit que la fonctionnalité « Voir une fois » de WhatsApp (introduite il y a trois ans) permet aux utilisateurs de partager des photos, des vidéos et des messages vocaux en privé, sachant que le destinataire ne devrait pas pouvoir transférer, partager, copier ou capturer leurs messages car ils disparaîtront automatiquement des discussions après avoir été ouverts une fois.
« Une fois que vous envoyez une vue une fois une photo, une vidéo ou un message vocal, vous ne pourrez plus la visualiser », explique la société sur son site Web d’assistance.
« Les photos ou vidéos que vous envoyez ne seront pas enregistrées dans les photos ou la galerie du destinataire. Le destinataire ne peut pas non plus prendre une capture d’écran de tout ce que vous envoyez en utilisant view une seule fois. »
Cependant, « Afficher une fois » empêchera uniquement les utilisateurs de WhatsApp de capturer ce qui est envoyé sur les appareils mobiles, car les plates-formes de bureau et Web ne prennent pas en charge le blocage des captures d’écran.
De plus, l’équipe de recherche Zengo X a découvert que Meta implémentait cette fonctionnalité de ce que les chercheurs décrivaient comme une « manière négligente », permettant aux attaquants d’enregistrer et de partager facilement des copies des messages « Voir une fois ».
« Nous avions divulgué de manière responsable nos résultats à Meta, mais lorsque nous avons réalisé que le problème était déjà exploité dans la nature, nous avons décidé de le rendre public pour protéger la vie privée des utilisateurs de WhatsApp », a déclaré le directeur technique de Zengo, Tal Be’ery.
Comme l’ont découvert les chercheurs en sécurité de Zengo, la fonction « Afficher une fois » est utilisée pour envoyer des messages multimédias cryptés à tous les appareils du destinataire, des messages presque identiques à un message normal mais incluant une URL vers les données cryptées hébergées sur le serveur Web de WhatsApp (« blob store ») et la clé pour le décrypter. De plus, les messages » Afficher une fois « définissent un indicateur »Afficher une fois « sur » vrai ». »
« Faux sentiment d’intimité »
Be’ery a expliqué que la fonctionnalité « Voir une fois » de WhatsApp permet aux utilisateurs d’envoyer des messages qui ne doivent être consultés qu’une seule fois. Pourtant, les messages sont envoyés à tous les appareils du destinataire, y compris ceux qui ne sont pas autorisés à les afficher. De plus, les messages ne sont pas immédiatement supprimés des serveurs de WhatsApp après le téléchargement.
Cela rend impossible la limitation de l’exposition des médias aux environnements et plates-formes contrôlés, d’autant plus que certaines versions des messages « Voir une fois » contiennent également des aperçus multimédias de mauvaise qualité qui peuvent être consultés sans téléchargement.
De plus, les messages » Afficher une fois « fonctionnent comme des messages normaux mais avec un indicateur » Afficher une fois ». Cependant, les attaquants peuvent contourner cette fonctionnalité de confidentialité en définissant cet indicateur « afficher une fois » sur false, ce qui permet de télécharger, transférer et partager le message..
« La confidentialité est essentielle pour la messagerie instantanée. WhatsApp a reconnu cela en prenant en charge le cryptage de bout en bout (E2EE) pour les conversations de ses utilisateurs par défaut », a conclu Be’ery.
« Cependant, la seule chose qui est pire que l’absence de confidentialité, c’est un faux sentiment de confidentialité dans lequel les utilisateurs sont amenés à croire que certaines formes de communication sont privées alors qu’en fait elles ne le sont pas. Actuellement, la vue de WhatsApp une fois est une forme brutale de fausse confidentialité et devrait être complètement corrigée ou abandonnée. »
Alors que les chercheurs de Zengo sont les premiers à signaler le problème à Meta et à publier un rapport détaillant ce problème de confidentialité, la faille a été abusée pour enregistrer les messages « Voir une fois » pendant au moins un an, ceux qui l’exploitent créant même des modules complémentaires de navigateur pour rationaliser l’ensemble du processus.
Breachtrace connaît au moins deux extensions Google Chrome, l’une publiée en 2023, qui peuvent désactiver l’indicateur View Once, permettant de contourner la fonctionnalité.
Meta a répondu à un e-mail de Breachtrace concernant le contournement, disant qu’ils déploient actuellement des modifications à la fonctionnalité View Once. Bien qu’un correctif arrive sur WhatsApp Web, il n’est pas clair si la faille de confidentialité pourrait toujours être exploitée à l’aide d’applications WhatsApp personnalisées.
« Notre programme de primes aux bogues est un moyen important de recevoir des commentaires précieux de chercheurs externes et nous sommes déjà en train de déployer des mises à jour à consulter une fois sur le Web », a déclaré un porte-parole de WhatsApp à Breachtrace . « Nous continuons d’encourager les utilisateurs à n’envoyer des messages view once qu’aux personnes qu’ils connaissent et en qui ils ont confiance.”