Confidentialité : la fonction « Vue unique » de WhatsApp peut être contournée !
Un problème de confidentialité dans la fonction "Vue unique" de WhatsApp est exploité par des pirates pour voler le contenu des messages éphémères. Voici ce qu'il faut savoir.
On ne présente plus WhatsApp, la messagerie instantanée au 2 milliards d'utilisateurs actifs dans le monde. Au sein de cette application, les développeurs de Meta intègrent régulièrement de nouvelles fonctionnalités. D'ailleurs, il y a trois ans, WhatsApp a accueilli une nouvelle fonction baptisée "View once" (Vue unique) pour les photos, les vidéos et les messages vocaux. L'idée : le média ne peut être lu qu'une seule fois, avant d'être supprimé.
Ainsi, le destinataire du message ne peut pas le transférer, le partager, le copier ou même effectuer une capture d'écran, grâce à cette fonction intéressante du point de vue de la confidentialité.
"Toutes les photos ou vidéos que vous envoyez ne seront pas enregistrées dans les Photos ou la Galerie de votre destinataire. Votre destinataire ne peut pas non plus prendre une capture d’écran de ce que vous envoyez en mode vue unique.", peut-on lire dans la FAQ de WhatsApp.
Une fonctionnalité qui n'est pas suffisamment sécurisée
Le problème, c'est que le blocage des copies d'écran fonctionne seulement sur mobile. Si l'utilisateur consulte le message à partir d'un ordinateur, il pourra très facilement prendre une copie d'écran, et donc contourner cette restriction.
L'équipe de recherche Zengo X estime que Meta a été négligent dans l'implémentation de la fonction "View once". D'ailleurs, dans leur nouveau rapport, il est précisé que les pirates en profitent déjà : "Nous avions divulgué nos conclusions de manière responsable à Meta, mais lorsque nous avons réalisé que le problème était déjà exploité dans la nature, nous avons décidé de le rendre public afin de protéger la vie privée des utilisateurs de WhatsApp."
De plus, grâce à cet article de Tal Be'ery, nous apprenons que les messages à vue unique fonctionnent sur le même principe que les messages normaux. La seule différence, c'est la présence d'un flag spécifique positionné sur "Vrai" lorsque la vue unique est activée. Il s'avère que les pirates peuvent contourner cette fonction en définissant cet indicateur sur faux, ce qui ouvre la porte à d'autres actions sur le message (télécharger, partager, transférer). Cette technique serait même implémentée au sein d'extensions malveillantes pour les navigateurs.
"Cependant, la seule chose qui soit pire que l'absence de vie privée, c'est un faux sentiment de vie privée dans lequel les utilisateurs sont amenés à croire que certaines formes de communication sont privées alors qu'elles ne le sont pas. Actuellement, la fonction "View once" de WhatsApp est une forme brutale de fausse confidentialité et devrait être soit corrigée en profondeur, soit abandonnée.", peut-on lire.
En réponse à ces révélations, Meta affirme travailler sur des améliorations pour la fonction "View once" de WhatsApp, notamment pour la version Web. Nous devrions en savoir plus prochainement.