Au mois d’avril, WhatsApp annonçait avoir finalisé le chiffrement de bout en bout de son service de messagerie. Aucune crainte donc de voir des pirates ou un Etat venir espionner les conversations de chacun.
Pas si sûr ! Un spécialiste de la sécurité, Jonathan Zdziarski, a découvert que WhatsApp n’effaçait pas complètement les messages que l’utilisateur avait supprimés. Dans un blog, il explique dans le détail la découverte de ce problème. Il précise ainsi avoir mené plusieurs conversations via l’application iPhone. Après ses chats, il a archivé, supprimé et effacé certaines de ses conversations. In fine, il a cliqué sur la fonction « Effacer tous les chats ». Le spécialiste pensait donc raisonnablement ne plus trouver de trace dans l’application de ses échanges.
Que nenni, les « enregistrements supprimés » ne le sont pas réellement, car les messages apparaissent encore dans la librairie SQLite, le gestionnaire de base de données de l’application. Selon Jonathan Zdziarski, la base de données du chat va se copier chaque fois qu’un utilisateur fait une sauvegarde sur son PC et iCloud. Or SQLite ne nettoie pas suffisamment la base de données des contacts. En effet, en supprimant une conversation, celle-ci est en fait envoyée dans une liste spécifique baptisée « free list ». En fonction de la taille des messages supprimés, cette liste peut être trop importante pour être mise à jour dans la base de données. « Dans d’autres applications, j’ai vu des artefacts rester dans la base de données pendant plusieurs mois », constate le spécialiste.
Ce stockage en local pose des problèmes de sécurité. Des cybercriminels peuvent s’ils ont un accès physique au smartphone pirater et créer une copie des messages. Idem s’ils ont un accès physique au PC, ils pourraient avoir un accès à une « sauvegarde non chiffrée ». Autre personne intéressée par cette faille, les Etats ou plutôt la justice qui peut sur mandat avoir accès facilement aux contenus des conversations sur WhatsApp. L’expert évoque ici l’affaire Apple contre le FBI qui est passé par un tribunal pour forcer la firme de Cupertino à accéder au smartphone d’un des auteurs de l’attentat de San Bernardino.
« Le cœur du problème est que la messagerie éphémère, n’est pas éphémère sur un disque », rapporte Jonathan Zdziarski. Pour lui, le seul moyen d’effacer complètement les messages est de supprimer l’application elle-même. Il donne aussi quelques pistes pour minimiser les risques comme chiffrer fortement et de manière complexe la sauvegarde son téléphone avec iTunes. Autre élément, faire appel au logiciel Apple Configurator qui permet de configurer un grand nombre d’appareils iOS et d’Apple TV. Ce programme peut verrouiller le smartphone et rendre plus difficile le vol de mot de passe.
A lire aussi :
WhatsApp passe finalement par la case PC et Mac
WhatsApp prochaine cible de la justice US sur le chiffrement
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…