WhatsApp & Co. : espionnage par confirmation de livraison
Le groupe de recherche international dirigé par le docteur Theodor Schnitzler a examiné à divers endroits (dans le monde et en Allemagne) la rapidité avec laquelle la deuxième tique apparaît après l’envoi d’un message. Les vitesses différaient selon les endroits et le groupe a pu les utiliser pour déterminer, par exemple, dans un pays avec une probabilité allant jusqu’à 90 % où se trouvait le récepteur. Le groupe lui-même et les médias actuels y voient un risque d’espionnage. Par exemple, il devrait être possible de vérifier si quelqu’un est à la maison, au gymnase ou au travail.
Sécurité WhatsApp : comment se protéger du phishing
Gros effort d’espionnage
Pour pouvoir interpréter les données, l’attaquant a besoin de beaucoup d’efforts : l’expéditeur doit figurer dans le carnet d’adresses du destinataire, comme l’indique le groupe de recherche lui-même, sinon aucune deuxième coche n’apparaît. Le destinataire ne doit pas avoir désactivé la confirmation de lecture. Même dans ce cas, l’attaquant doit connaître les heures des différents endroits. Il devrait donc envoyer plus fréquemment des messages de référence, mesurer le temps et demander au destinataire où il se trouve en ce moment. Ce n’est qu’alors qu’il peut également attribuer des heures spécifiques aux lieux.
De nombreux retards possibles
Le temps d’apparition de la deuxième coche dépend de la vitesse de transmission – à condition que l’appareil récepteur soit allumé et connecté à Internet. Cette vitesse diffère pour une connexion cellulaire en fonction de la tour cellulaire à laquelle l’appareil est connecté, et pour une connexion WiFi en fonction de sa vitesse. Cela signifie : Il y a deux heures différentes au même endroit, selon que l’appareil utilise le réseau mobile ou une connexion WLAN. L’attaquant doit également en tenir compte.
Et le plus gros problème est que très peu d’utilisateurs ont les applications ouvertes en permanence. Si l’application est fermée, le message concernant les mises à jour en arrière-plan dans iOS et Android est reçu et la réception est également confirmée. Cependant, ces mises à jour en arrière-plan entraînent des délais supplémentaires qui ne sont pas toujours identiques. Même si vous ignorez les charges du réseau et les problèmes de connexion, les délais varient. Comme des secondes sont en jeu ici, même de petites différences garantissent que l’emplacement ne peut plus être clairement attribué. Cela ne peut être évité qu’en s’assurant que l’application est ouverte du côté du destinataire, par exemple en mesurant pendant un appel.
Le risque d’espionnage est très faible
Il est moins probable que vous mettiez des inconnus dans votre carnet d’adresses et que vous continuiez à leur dire où vous êtes. Tout au plus, des connaissances et des amis peuvent utiliser cette méthode. Le groupe de recherche pointe le harcèlement, par exemple. Cependant, cela ne peut être fait que par des personnes qui sont encore dans les contacts de la victime et auxquelles la victime continue de répondre dans les chats. Et le harcèlement avec cette méthode devrait être préparé à l’avance si la victime est toujours disposée à fournir des informations sur l’endroit où elle se trouve ou en suivant la victime dans tous les endroits typiques et en prenant des mesures là-bas.
Les ex-partenaires auraient donc bien du mal à espionner de cette manière. Ce serait envisageable avec des partenaires actuels jaloux. Mais ils devraient de toute façon engager la victime dans une conversation pour une mesure propre. Ensuite, ils pourraient simplement demander où se trouve le partenaire en ce moment. Le scénario est donc aussi plutôt théorique. Espionner de cette manière est tout simplement trop lourd et inexact.
WhatsApp a examiné le vecteur d’attaque et arrive également à la conclusion qu’il ne peut pas être mis en œuvre dans la pratique : « Nous l’avons examiné de près et avons constaté qu’il faudrait tellement de messages pour déterminer où se trouve une personne utilisant cette méthode qu’elle rend l’exploitation de la vulnérabilité n’est pas pratique. »
Faille de sécurité facile à combler
Indépendamment du danger réel, il s’agit toujours d’une faille de sécurité que des fournisseurs comme WhatsApp peuvent facilement combler : s’ils ajoutent un délai aléatoire de quelques secondes lors de l’affichage du deuxième tick, toute discussion est inutile et le vecteur d’attaque est complètement fermé.