WhatsApp: la sécurité des portables remises en question

Publié le 17/05/2019 à 14:20

WhatsApp: la sécurité des portables remises en question

Publié le 17/05/2019 à 14:20

Par AFP

(Photo: 123RF)

Le piratage de WhatsApp, l’application de messagerie cryptée détenue par Facebook qui a été infectée par un logiciel espion donnant accès au contenu des téléphones intelligents, provoque de nouvelles inquiétudes sur la sécurité des téléphones portables.

L’attaque 

Grâce à une faille de sécurité, les pirates ont installé un logiciel malveillant sur des téléphones utilisant les systèmes Apple ou Androïd (Google), en appelant simplement les usagers de Whatsapp.

Ils ont eu accès au contenu des appareils infectés (contacts, messages, photos...) et pu installer des logiciels pour écouter ou visualiser l’environnement des propriétaires sans qu’ils s’en rendent compte. Pour couvrir leurs traces, les pirates ont pu effacer l’historique des appels.

Cette forme de piratage est « particulièrement effrayante », selon le chercheur en sécurité informatique John Dickson, du Denim Group.

« Normalement, un utilisateur doit cliquer sur quelque chose ou aller sur un site », dit-il. Dans cette affaire, « une fois que (le pirate) est entré, il contrôle l’appareil et peut faire n’importe quoi ».

L’attaque a été découverte début mai par WhatsApp qui a trouvé un remède en moins de dix jours.

Les auteurs

Des experts en cybersécurité estiment que les pirates, dont l’identité ou le mobile restent inconnus, ont utilisé le puissant logiciel espion Pégase développé par la société israélienne NSO Group.

Si les assaillants ont exploité une faille de WhatsApp, toutes les applications peuvent être « un véhicule » de logiciel espion, selon ces experts.

« Nous ne sommes pas encore capables de créer des logiciels sans anomalie ou sans faille », explique Joseph Hall, expert pour l’ONG américaine Center for Democracy and Technology (CDT).

Marc Lueck, de la société de sécurité Zscaler, souligne que l’intrusion « ne visait pas le cryptage, mais un autre élément de l’application ».

Les victimes

En 2018, le centre de recherche de l’Université de Toronto Citizen Lab avait repéré la présence de Pégase dans 45 pays, dont 36 où il serait utilisé par des organes gouvernementaux.

NSO affirme que sa technologie est vendue « à des gouvernements dans le seul objectif de combattre la criminalité et le terrorisme ». Mais selon Citizen Lab, il est utilisé dans des pays au bilan « douteux » en matière de droits de la personne, et l’Arabie saoudite pourrait avoir exploité Pégase pour localiser le journaliste et critique du régime Jamal Khashoggi, tué à Istanbul en octobre 2018.

Le centre de recherche a indiqué avoir « mis au jour au moins 25 cas de ciblage illégal de groupes de défense, d’avocats, de scientifiques et chercheurs, d’enquêteurs dans des affaires de disparitions massives et de membres des médias ».

Marc Lueck (Zscaler) souligne que des programmes comme Pégase coûtent très cher et peuvent difficilement être utilisés pour gagner de l’argent.

« Les personnes lambda ne sont pas la cible de ce logiciel, conçu pour être vendu à des gouvernements et pour viser des individus, il ne marche pas à grande échelle », dit-il.

Mais la faille montre que les applications « des téléphones portables sont devenues une plateforme aussi vulnérable et risquée que l’ordinateur », précise-t-il.

L’importance du cryptage

Le système de cryptage assure la sécurité entre deux interlocuteurs en vérifiant leur identité, selon Marc Lueck.

« C’est important pour la vie privée, mais aussi pour la confiance », dit-il.

Le cryptage permet à WhatsApp, et d’autres messageries, de protéger la confidentialité des conversations entre un appelant et un appelé, mais ne peut rien si on s’introduit dans l’appareil de l’appelé, note Matt Blaze, un expert de l’Université de Georgetown.

L’attaque est intervenue alors que les gouvernements du monde s’inquiètent d’être « dans le noir » face aux conversations cryptées dans des affaires de terrorisme ou de pédophilie. L’Australie oblige ainsi les géants de la technologie à permettre l’accès à leurs appareils ou services.

Pour Joseph Hall (CDT), Pégase montre que les gouvernements disposent, dans le cadre de ce type d’affaires, d’outils pour exploiter des failles et viser des cibles spécifiques, sans affaiblir le cryptage et violer la vie privée du 1,5 milliard d’utilisateurs de Whatsapp.


image

Gestion du changement

Mardi 17 septembre


image

Gestion de l’innovation

Mercredi 18 septembre


image

Usine 4.0

Mardi 24 septembre


image

Marché du cannabis

Mercredi 23 octobre


image

Service à la clientèle

Mercredi 23 octobre


image

Communication interne

Mardi 26 novembre


image

Gestion de la formation

Mardi 03 décembre


image

Marché de l'habitation

Mercredi 04 décembre


image

Sommet énergie

Mardi 21 janvier


image

Santé psychologique

Mercredi 22 janvier


image

Forum Contrats publics

Mardi 11 février

À la une

10 choses à savoir mardi

Il y a 42 minutes | Alain McKenna

Taxer les milliardaires à mort! Loto-Québec dans les jeux vidéo? Cet étui pour téléphone, aussi bon pour les cafés!

iPhone 11 et iPhone 11 Pro : Apple en met plein les yeux

BLOGUE. Si on se fie aux rumeurs sur les précommandes, ce nouvel iPhone est déjà un succès—mais est-il pour vous?

Bourse: ce qui bouge sur les marchés avant l'ouverture mardi

06:49 | LesAffaires.com et AFP

«Le pétrole restera le catalyseur clé.»