La conception du protocole E2EE dans WhatsApp peut révéler des appareils secondaires liés au même compte

MADRID, 18 ans. (Portail/EP) –

WhatsApp a un problème de conception qui permet d’identifier les appareils qu’un utilisateur a liés au même compte, dans le cadre de l’architecture multi-appareils, ce qui peut générer des problèmes de confidentialité et de sécurité.

Un acteur malveillant peut obtenir des informations sur les appareils qu’un utilisateur de WhatsApp utilise en raison de conception de protocole de chiffrement de bout en bout (E2EE) créé par l’entreprise technologique, comme l’a déclaré le chercheur Tal Be’ery, co-fondateur du portefeuille crypto ZenGo, dans sur blog fr Medium.

Ce protocole a été implémenté pour la première fois dans WhatsApp en 2016, pour protéger le contenu des conversations afin que seuls l’expéditeur et le destinataire puissent y avoir accès. Avec l’arrivée en 2021 du architecture multi-appareilsqui permet de relier un téléphone principal et jusqu’à quatre appareils compagnonsl’entreprise a adapté le protocole à la nouvelle situation.

Par le protocole E2EE, l’appareil principal génère une clé de chiffrementn, pas au niveau du serveur, c’est seulement change lorsque l’utilisateur réinstalle l’application sur un nouvel appareil sans recourir à une sauvegarde. Dans tous les cas, c’est une clé visible par le reste des participants à la conversation.

En intégrant une architecture multi-appareils, les appareils supplémentaires doivent également disposer d’une clé de cryptage. Au lieu de partager la même chose que l’appareil principal, la solution adoptée par WhatsApp est que les nouveaux appareils générer sa propre clé, dérivée de la clé de l’appareil principal.

Comme le détaille le chercheur, la clé mobile principale inclut le téléphone et se termine par le suffixe « .0 », tandis que les appareils liés ajoutent un numéro qui les identifie avant le suffixe. Ces informations, en plus d’apparaître dans une conversation avec un destinataire, qui peut en déduire si votre interlocuteur utilise l’appareil principal ou un appareil secondairepeut également être consulté à partir des outils de développement dans le navigateur.

Ces informations, entre les mains d’un acteur malveillant, peuvent conduire à les attaques visant l’appareil secondaire, généralement considéré comme un objectif plus abordable, comme le souligne Tal Be’ery.

Aussi pour créer des exploits personnalisés envoyé au principal via des messages invisibles pour le navigateur ou l’appareil secondaire. Et ça peut même motiver un suivi des utilisateurspuisqu’il vous permet de savoir si vous avez acheté un nouveau téléphone mobile ou si vous devez utiliser la plateforme depuis votre ordinateur.

Le chercheur a décidé de partager cette recherche après avoir informé WhatsApp début janvier dans le cadre du programme de récompenses et cette société l’a rejeté comme non pas une faille de sécurité mais un problème de conception.

L’entreprise, dans l’e-mail envoyé à Tal Be’ery, rappelle au chercheur que le changement de clé peut survenir « pour diverses raisons » et que le changement de clé Il n’est pas toujours nécessaire que l’utilisateur ait changé d’appareil.puisque vous avez peut-être réinstallé « l’application » dessus.

Il souligne également que la modification du mot de passe peut permettre à l’utilisateur sache que tu ne parles plus à la même personnece qui fait de la notification de la clé E2EE une mesure de sécurité et de protection distincte du chiffrement.