Tes messages sur WhatsApp n’ont jamais été confidentiels

Jug33keries, websurveillance
Facebooktwitterlinkedinmailby feather
Au secours, c’est la fin du monde ! La clé de chiffrement de l’appli WatsApp a été révélée ! Le monde se réveille apeuré, piraté, outré, sauf que… Sauf que mon grand, tes messages sur WhatsApp n’ont jamais été confidentiels.

Première contre-vérité, ce chiffrement était soi-disant sécurisé

La « sécurité » de cette application était basée sur du chiffrement symétrique, c’est à dire qu’on utilise la même clé pour chiffrer et déchiffrer le message,

Capture du 2014-03-21 10:56:50

De son côté, PGP dont le chiffrement est asymétrique, nécessite plusieurs clés pour chiffrer/déchiffrer le message et notamment des clés privées. Ces clés privées sont installées sur l’ordinateur de l’expéditeur et du destinataire qui ne peuvent les utiliser qu’à l’aide d’une phrase de passe propre à chacun.

Or, dans le cas WhatsApp, la clé de chiffrement/déchiffrement était commune à tous. D’ailleurs pas juste à des duos expéditeur-destinataire, mais à la totalité des utilisateurs de WhatsApp, une seule et même clé.

Il suffit, pour quelqu’un d’un peu plus malin que la moyenne, donc, de réaliser un « reverse » sur l’application pour trouver la clé.

Bien entendu, ce n’est pas chose facile, la clé se trouvant quelquepart bien cachée dans le code, avec un bonne coche d’obfuscation… Du moins, je l’espère, sinon le petit malin ne s’est pas amusé.

Seconde contre-vérité, les messages chiffrés sur les serveurs de WhatsApp

 Ils sont mignons de nous croire aussi crédules.

Les créateurs de l’application ont énormément communiqué sur cette question, surfant sur la vague des révélations Snowden. On vous dit que non, personne ne pourra lire vos messages, ils sont chiffrés, protégés, toussa. Dormez tranquilles et balancez vous des infos secrètes.

Sauf que…

Sauf que je te le dis plus haut si tu as suivi, il n’y a qu’une seule clé de chiffrement commune à tous.

Tu me vois venir ?

Cette fameuse clé qui vient d’être révélée, tu ne vas pas me faire croire que personne, non personne, ne la connaissait parmi les créateurs de l’appli…

genre « On a fermé les yeux quand ça moulinait pour pas connaître la clé de chiffrement » ou « on l’a coupée en quatre, on a pris des lignes de code au pif, on a ajouté les bouts de clé, on a mélangé les lignes comme un paquet de cartes et hop, perdue, la clé ! »

Encore une fois, on tombe dans la servitude volontaire.

C’est parce que les utilisateurs ont choisi de leur donner leurs infos personnelles et de faire aveuglément confiance à cette appli que cela arrive aujourd’hui.

  • Les liens qui vont bien

Armes d’interceptions numériques : Introduction, usages et tentatives d’opposition
Menaces sur nos libertés, comment Internet nous espionne
Introduction à l’auto-hébergement

This post has already been read 1485 times!

twitterlinkedinby feather

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *