2018 n'a pas encore été une année pour la sécurité. Après Intel, WhatsApp est maintenant confronté à une faille de sécurité qui pourrait exposer les discussions de groupe cryptées. Des chercheurs allemands en sécurité de l'Université de la Ruhr ont dévoilé la faille de la plus célèbre application de messagerie, WhatsApp. Ils ont trouvé un moyen d'accéder aux discussions de groupe WhatsApp malgré le cryptage de bout en bout. L'un des chercheurs de l'Université de la Ruhr a déclaré : « La confidentialité du groupe est rompue dès que le membre non invité peut obtenir tous les messages et les lire. » Cela signifie que cette faille pourrait permettre à une personne, qui a le contrôle sur les serveurs WhatsApp, pour ajouter quelqu'un à un groupe WhatsApp sans l'autorisation de l'administrateur.
Une fois la personne ajoutée au groupe, les clés de chiffrement de tous les membres du groupe sont automatiquement partagées avec le nouvel utilisateur. Cela lui donne accès à la lecture de tous les messages chiffrés de bout en bout du groupe. Si une telle attaque devait se produire, la personne aura un contrôle total sur les serveurs WhatsApp, ce qui n'est pratiquement pas possible car seuls les employés de l'entreprise et les gouvernements, qui sont prêts à mener des programmes de surveillance, n'auront accès qu'aux serveurs WhatsApp.
Ce rapport n'a pas pris de temps pour atteindre le papa de WhatsApp, Facebook. En peu de temps, le responsable de la sécurité de Facebook, Alex Stamos, a publié plusieurs tweets en réponse au rapport.
« Lisez l'article de Wired aujourd'hui sur WhatsApp - titre effrayant ! Mais il n'y a pas de moyen secret d'accéder aux discussions des groupes WhatsApp. L'article fait quelques points », explique le premier tweet.
Il ajoute en outre que "Tout le monde dans le groupe verrait un message qu'un nouveau membre avait rejoint." Mais la question est de savoir si cela peut être considéré comme une mesure de sécurité ?
Alex Stamos justifie en outre en disant que "WhatsApp est conçu pour que les messages de groupe ne puissent pas être envoyés à des utilisateurs cachés et offre aux utilisateurs plusieurs façons de confirmer qui reçoit un message avant qu'il ne soit envoyé."
Alex Stamos a ajouté que WhatsApp a examiné très attentivement le rapport. Il a déclaré que si cette attaque était empêchée, cela modifierait peut-être la manière dont WhatsApp a ajouté une fonctionnalité populaire appelée les liens d'invitation de groupe qui permet à toute personne disposant d'un lien de rejoindre un groupe WhatsApp.
Selon le développeur du protocole Signal, en contradiction avec l'affirmation des chercheurs, il n'est pas possible de supprimer les messages d'alerte lorsque quelqu'un rejoint un groupe ce qui explique qu'il n'est pas facile de pirater les serveurs et de se faufiler dans les chats de groupe.