WhatsApp, l’application de messagerie très répandue et détenue par Meta, fait face à une vulnérabilité de sécurité alarmante. Cette faille, détectée par l’équipe de sécurité de WhatsApp, expose les données personnelles des utilisateurs, compromettant ainsi leur vie privée numérique.
Le signalement de cette vulnérabilité, révélé par The Intercept, a causé une véritable alerte au sein de la communauté de la cybersécurité. En effet, cet écart sécuritaire donnerait la possibilité à des acteurs malintentionnés, y compris à des entités gouvernementales, de dévoiler les interlocuteurs des utilisateurs de WhatsApp, les groupes auxquels ils appartiennent et même de traquer leur position géographique.
D’après les chercheurs de Meta, cette faille peut être exploitée par des « agences gouvernementales » pour observer les communications entre les utilisateurs. Par le biais d’analyses de trafic Internet, il est envisageable d’identifier quels dispositifs échangent des messages, bien que le contenu des communications reste inaccessible. Cette technique, subtile de nature, laisse transparaître des détails vitaux concernant les pratiques de communication des utilisateurs.
Les chercheurs ont également étudié les attaques de corrélation comme moyen d’exploiter cette faille. Ces attaques, qui évitent le chiffrement de bout en bout, mettent en péril la confidentialité des communications sur WhatsApp. À travers une évaluation de la taille et la fréquence des échanges de données, un observateur peut inférer l’envoi d’un message de groupe sans y accéder directement. Par ailleurs, en calculant les intervalles de temps entre l’envoi et la réception des messages, il est possible de repérer la position et la distance des utilisateurs impliqués.
Néanmoins, malgré la gravité de cette vulnérabilité, WhatsApp affirme que le contenu des discussions demeure protégé par le chiffrement de bout en bout, qui utilise le protocole open source de Signal. Cette protection a été mise en avant dans une note interne envoyée aux employés de l’entreprise, rappelant que seules les métadonnées sont exposées, et non le contenu des messages.