WhatsApp, l'application de messagerie cryptée de bout en bout la plus populaire au monde avec plus de deux milliards d'utilisateurs, permet aux utilisateurs d'échanger des images et des vidéos qui disparaissent peu de temps après leur ouverture.
Mais un bug dans la façon dont WhatsApp implémente sa fonctionnalité dite « Afficher une fois » dans son application Web basée sur un navigateur permet à tout destinataire malveillant d'afficher et d'enregistrer l'image et la vidéo, qui devraient disparaître immédiatement après avoir été visionnées.
La fonctionnalité « Afficher une fois » est conçue pour fonctionner uniquement sur les applications mobiles de WhatsApp sur Android et iOS. WhatsApp a déployé cette fonctionnalité en 2021.
Dans des circonstances normales, lorsqu'un utilisateur reçoit une image ou une vidéo « Afficher une fois » alors qu'il utilise WhatsApp sur l'application de bureau ou sur l'application Web, l'utilisateur verra un avertissement indiquant que l'image ou la vidéo ne peut être ouverte qu'à l'aide de WhatsApp sur son téléphone.
Pour une protection supplémentaire de la confidentialité, WhatsApp empêche les utilisateurs de prendre des captures d'écran ou des enregistrements d'écran des photos et vidéos « Afficher une fois » dans ses applications Android et iOS.
Tal Be'ery, un chercheur en sécurité qui étudie les problèmes de confidentialité de WhatsApp depuis plusieurs mois, a récemment découvert le bug. Lundi, Be'ery a publié un article de blog détaillant ses découvertes.
La semaine dernière, Be'ery a fourni à TechCrunch une démonstration en direct du bug, dans laquelle il a montré qu'il était capable de capturer et d'enregistrer une copie d'une image que TechCrunch avait envoyée sous le nom « Afficher une fois », alors qu'il utilisait WhatsApp sur le Web.
« La seule chose qui soit pire que l’absence de confidentialité, c’est un faux sentiment de confidentialité dans lequel les utilisateurs sont amenés à croire que certaines formes de communication sont privées alors qu’elles ne le sont pas », a déclaré Be'ery, directeur technique et cofondateur du portefeuille cryptographique Zengo, dans son billet de blog. « Actuellement, le « View Once » de WhatsApp est une forme brutale de fausse confidentialité et devrait être complètement corrigé ou abandonné », a écrit Be'ery.
Contactez-nous
Avez-vous plus d'informations sur les bugs dans WhatsApp ou d'autres applications de messagerie ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail. Vous pouvez également contacter TechCrunch via SecureDrop.
Be'ery a signalé le bug à Meta, la société mère de WhatsApp, via sa plateforme officielle de bug bounty, le 26 août.
En réponse à une demande de commentaires de TechCrunch la semaine dernière, et quelques jours après que Be'ery a déposé son rapport de bug, le porte-parole de WhatsApp, Zade Alsawah, a envoyé une déclaration : « Nous sommes déjà en train de déployer des mises à jour pour voir une seule fois sur le Web. Nous continuons d'encourager les utilisateurs à n'envoyer des messages de vue unique qu'aux personnes qu'ils connaissent et en qui ils ont confiance. »
Be'ery n'est pas la première personne à avoir découvert ce bug. Be'ery et TechCrunch ont vu des publications faisant la promotion de plusieurs extensions de navigateur qui permettent de contourner facilement la fonctionnalité « Afficher une fois » lors de l'utilisation de l'application Web de WhatsApp. TechCrunch a également vu des discussions actives sur la façon de contourner la fonctionnalité sur les réseaux sociaux. TechCrunch ne fournit pas de liens vers les publications afin de ne pas aider les acteurs malveillants à exploiter le bug.
WhatsApp n'a pas fourni de calendrier concernant la date à laquelle il prévoit de terminer ses mises à jour de View Once.