Applications

Signal et WhatsApp peuvent faire fuiter votre géolocalisation

Comme quoi, le chiffrement de bout en bout n’est pas toujours synonyme de sécurité à toute épreuve.

Il y a

le

Par

© Pexels / Dominika Roseclay

Des chercheurs en cybersécurité ont pu mettre la main sur une faille majeure des apps WhatsApp, Signal et Threema. Soit des plateformes de messagerie instantanée réputées pour faire régulièrement la promotion de leur défense des données personnelles. Combinées, les trois apps réunissent plus d’un milliard d’utilisateurs actifs mensuels.

Les internautes de tous les continents semblent concernés. Grâce à la brèche, un petit malin qui en comprend les enjeux est capable de détecter la position d’un compte dans l’espace, sans même faire appel à un quelconque piratage. Comme le précise le document des experts arrivés à ces conclusions, il est ainsi possible de savoir si vous êtes au bureau, à la maison ou à la salle de sport en toute discrétion. Comprenez : sans mettre au courant la cible, grâce à un procédé qui tourne en arrière-plan.

Simple comme bonjour

Mais alors, comment un acteur malveillant peut retrouver un smartphone de la sorte ? En réalité, tout ceci est dû aux accusés de réception des apps de messagerie. Ces petites notifications prennent un certain temps avant d’arriver sur le mobile de l’interlocuteur, et cette période change en fonction du réseau local et de sa puissance. Par exemple, si vous êtes installé dans un espace de coworking avec un modem très performant, l’expéditeur saura presque immédiatement que son contenu est arrivé sur votre appareil. En revanche, à domicile en rase campagne, la vitesse de connexion est peut-être plus lente et l’alerte s’envoie donc plus tard.

Quelqu’un peut alors effectuer des tests lors d’une première étape où il connaît déjà votre localisation. Un cas de figure qui représente bien cette situation est celui de la présence au travail, après avoir identifié l’entreprise de la victime et son adresse via son profil LinkedIn. En envoyant des messages à ce moment, on obtient un échantillon témoin qui permet de savoir combien de temps mettent les notifications de réception pour arriver dans ce cadre géographique précis. C’est ce qui peut finalement calibrer la manœuvre, pour savoir précisément où est situé le destinataire à tout instant lors de futurs pings.

Bien se protéger

Plusieurs solutions sont envisageables pour se défendre contre ces attaques éventuelles. La première consiste tout simplement à désactiver les accusés de réception, ce que proposent certaines apps côté utilisateur. La deuxième revient à randomiser le délai d’envoi de celles-ci, ce qui se destine plutôt aux développeurs. Enfin, des deux côtés, il est toujours possible de passer par un VPN mobile pour là aussi jouer sur la latence.

Signal
Par : Signal Messenger, LLC
4.6 / 5
135,2 k avis
1 Commentaire

Sur le même sujet

Quitter la version mobile