Trois mois. C’est le temps qu’il aura fallu à Meta pour enfin parvenir à corriger un bug critique affectant le mode « Vue unique » dans WhatsApp. Pour rappel, Tal Be’ery, chercheur chez Zengo, avait mis le doigt sur une mauvaise implémentation technique de la fonctionnalité dans la version web de la messagerie. Résultat : n’importe quelle personne en possession de la clé de déchiffrement des messages pouvait récupérer, sauvegarder et partager des photos éphémères, et des extensions web à destination du grand public avaient commencé à pulluler sur les stores de navigateurs. Dans la foulée, Meta avait proposé un patch, que des hackers avaient réussi à contourner en moins d’une semaine. Depuis, silence radio. Jusqu’à aujourd’hui.
Un second patch viable et pérenne
Encore une fois, il semble que Meta fasse profil bas. Peu loquace concernant ce bug très compromettant, l’entreprise aurait déployé un deuxième correctif mi-novembre, sans rien dire à personne. D’après Tal Be’ery, qui suit l’affaire de près, la faille était toujours active au 12 novembre. Mais, quatre jours plus tard, un nouveau contrôle des pages d’extensions web destinées à tirer profit de la vulnérabilité lui a permis de tomber sur des commentaires d’internautes insurgés. Les plugins ne fonctionnent plus, signe que Meta aurait bricolé une solution côté serveurs.
Testé en configuration de laboratoire composée de plusieurs appareils expéditeurs et destinataires, le patch semble fonctionnel. D’après les analyses approfondies menées par Be’ery, les éphémères envoyés s’affichent bien une seule fois sur WhatsApp mobile, et ne sont plus visionnables sur WhatsApp Web, y compris sur les clients web modifiés, qui reçoivent un message d’erreur invitant les utilisateurs et utilisatrices à consulter le message sur leur smartphone. Cette fois-ci, Meta semble donc avoir trouvé une solution pérenne.
Secret des contenus ou confidentialité des métadonnées : il faut choisir
Reste qu’en jetant un coup d’œil plus avisé sous le capot, Be’ery a relevé quelques éléments contrariants. L’analyse dynamique du client WhatsApp web officiel et d’autres clients open source basés sur Baileys (utilisés notamment pour se connecter à un second compte WhatsApp depuis une même interface) a révélé que les messages éphémères contenaient des métadonnées non chiffrées, incluant le numéro de téléphone, l’appareil, le pseudo WhatsApp et les identifiants WhatsApp internes de l’expéditeur, ainsi que le type de message envoyé (média, vue unique).
En raison de l’impossibilité pour WhatsApp d’accéder au contenu des messages chiffrés de bout en bout, ces métadonnées doivent permettre aux serveurs de l’entreprise d’identifier la nature des médias, et ainsi de bloquer le chargement des éphémères sur les clients web.
En bref, le patch déployé résout le problème principal, mais il soulève des enjeux concernant la confidentialité effective des expéditeurs. Le chiffrement de bout en bout protège le contenu des messages, mais pas les métadonnées associées. Un peu comme une enveloppe censée protéger une lettre, mais sur laquelle figurent l’adresse postale de celle ou celui qui l’envoie, le cachet de la Poste, et d’autres caractéristiques permettant de tracer le parcours du courrier.
Suivant un tel schéma, Meta a donc en partie troqué l’anonymat de ses utilisateurs et utilisatrices pour renforcer la confidentialité des médias envoyés en mode Vue unique. Be’ery relativise toutefois cette conclusion, confirmant que le correctif, bien que très imparfait, améliore sensiblement la situation par rapport au problème initial. Problème qui permettait, on le rappelle, de récupérer et repartager à volonté des messages faits pour n’être consultés qu’une seule fois.
Source : Tal Be’ery via Medium
