La société de sécurité Check Point a découvert qu’il est possible de modifier l’application WhatsApp et, l’application étant piratée, de changer le contenu d’un message déjà envoyé. Cela n’affecte pas votre historique, mais vous devrez être prudent avec la fonction “Répondre”.
Voici comment cela fonctionne : vous obtenez quelque chose d’inoffensif, comme un “bonjour”, vous le touchez et vous choisissez l’option Réponse. Il s’agit de citer le contenu original. Donc, en utilisant une version modifiée de WhatsApp, vous changez ce message pour ce que vous voulez ? “Je suis à l’hôpital” par exemple ? et l’envoyer avec un commentaire.
Le message original (“bonjour”) restera inchangé dans l’histoire. Le texte modifié (“Je suis à l’hôpital”) n’apparaîtra que sous forme de citation. Toutefois, cela peut suffire à semer la confusion parmi les membres d’un groupe.
Les flèches indiquent le message original (qui reste dans l’histoire) et le texte manipulé :
WhatsApp dit au New York Times qu’il est en fait possible de manipuler la fonction “Responder”. Cependant, la société n’a pas l’intention de régler ce problème : elle devrait vérifier chaque message sur la plateforme, ce qui créerait des risques pour la vie privée ou ralentirait le service.
Une solution serait de comparer l’historique de chaque utilisateur dans une conversation, pour vérifier si un message a été manipulé avec “Répondre”. Cependant, WhatsApp dit qu’elle ne stocke pas les conversations sur ses serveurs.
Créer une fausse histoire
Check Point a réalisé une rétro-ingénierie de WhatsApp pour découvrir les paramètres envoyés dans chaque message.
L’une d’elles est la “conversation”, qui apporte le message cité dans la fonction Réponse. Comme nous l’avons vu, il est possible de la changer en n’importe quoi. Il y a aussi le “participant”, avec le nom de la personne qui a envoyé la phrase originale ? oui, vous pouvez aussi changer cela.
D’autres attaques sont possibles avec le piratage de WhatsApp. Par exemple, vous pouvez vous envoyer des messages au nom de quelqu’un d’autre. Ils apparaîtront à gauche dans l’histoire, indiquant qu’ils proviennent de votre contact ? mais vous les avez écrits vous-même.
Cela vous permet de créer un faux historique, comme dans l’exemple ci-dessous. Tout ici a été envoyé par la même personne :
Le paramètre “fromMe” indique si le message provient de vous ou d’un autre membre du groupe. Lorsque vous la changez (de vrai à faux), une phrase que vous envoyez semble provenir d’un autre contact.
Envoi de messages privés en groupe
L’astuce la plus complexe consiste cependant à envoyer un message dans un groupe mais à le laisser visible à un seul membre. Lorsqu’il répond, tout le monde peut le voir.
Dans l’exemple ci-dessous, un fils commente la fête surprise pour son père dans le groupe familial. Le message n’est visible que pour la mère, qui ne le connaît pas. Sa réponse apparaît à tout le monde, et le père découvre la surprise.
Regardez la vidéo à partir du point 2:15 :
Il convient de rappeler que le cryptage de bout en bout n’a pas été rompu dans ces cas. En fait, la société de sécurité explique dans son blog comment crypter les messages avant de les envoyer ? sinon les attaques ne fonctionneraient pas.
Fausses nouvelles
Oded Vanunu, chercheur à Check Point, explique au NYT qu’il serait très facile de diffuser de fausses informations en manipulant le répondant. Cela peut être un problème dans les groupes composés de nombreuses personnes. “Le public dépend de l’intégrité du message, et WhatsApp doit être ajusté pour éviter cette simple manipulation.
Cependant, WhatsApp a minimisé cela en disant que la plupart des gens connaissent les personnes avec lesquelles ils communiquent. Seuls 10 % des messages sont envoyés en groupes, et la plupart d’entre eux comptent six membres ou moins.
WhatsApp a été critiqué pour ne pas avoir combattu les fausses nouvelles sur sa plateforme. La société a pris récemment certaines mesures, telles que la limitation des renvois et le financement d’études sur la diffusion de fausses nouvelles. La découverte de Check Point ne fera pas partie de ces efforts.
