Un consultant indépendant en sécurité a critiqué WhatsApp pour le manque de sécurité fournie aux conversations des utilisateurs si elles sont stockées sur une carte SD, comme cela est souvent possible avec un smartphone Android. À y regarder de plus près, la situation n’est pas aussi simple.
Alors, faille ou pas faille ?
Selon le consultant Bas Bosschert, il existe au sein de la version Android de WhatsApp une faille de sécurité. Exploitée, elle permettrait à une autre application d’aller récupérer les conversations en cours si l’utilisateur a fait le choix de les stocker sur la carte externe. Un port SD est en effet souvent présent sur les smartphones Android, ce qui permet d’y transférer aussi bien des données personnelles que des applications, le choix se faisant à l’installation.
Pour WhatsApp cependant, la notion de faille de sécurité est largement exagérée : « Nous sommes informés des rapports au sujet d’une « faille de sécurité ». Malheureusement, ces rapports n’ont pas dépeint un portrait précis et sont exagérés. En temps normal, les données sur la carte microSD ne sont pas exposées. Cependant, si un utilisateur télécharge un logiciel malveillant ou un virus, leur téléphone sera en danger. Comme toujours, nous recommandons aux utilisateurs de WhatsApp d’appliquer toutes les mises à jour pour s’assurer qu’ils disposent des derniers correctifs de sécurité, et nous leurs recommandons également de ne télécharger que des applications de confiance d’entreprises connues. La version actuelle de WhatsApp dans Google Play a été mise à jour pour mieux protéger nos utilisateurs contre les applications malveillantes ».
Entre sécurité inhérente à Android et meilleure protection des données
Le problème serait donc là : dans le fait qu’un utilisateur fait confiance à une application qui arbore un comportement malveillant. C’est cette dernière qui va aller récupérer les données sur la carte SD pour les transmettre ensuite à un serveur distant.
Pour autant, plusieurs questions se posent. D’une part, serait-il possible à WhatsApp de mieux sécuriser les données quand elles se trouvent sur une carte SD afin de les rendre inexploitables par une autre application ? D’autre part, peut-on attendre des utilisateurs qu’ils sachent faire la différence entre une application légitime et une malveillante ? Le succès d’Android est en partie basé sur cette liberté d’installation des applications et les utilisateurs en ont l’habitude.
En attendant que la situation soit un peu plus claire, les utilisateurs sont invités à contrôler plus précisément ce qu’ils téléchargent sur des boutiques tierces. Comme Kaspersky le rappelait dans son dernier rapport sur les évolutions de la sécurité en 2013, Android concentre à lui seul 98 % des attaques mobiles.
Commentaires (24)
#1
Il fonctionne trop bien ce truc, faut qu’il soit racheté par une boite de mer… ou alors dénigré…
#2
C’est sans faille, une faille…surtout depuis que FB l’a racheté…
" />
" />
J’suis là———————————————->j’suis plus là–>[ ]
#3
OMG, la meme pour MS et windows :
Malheureusement, ces rapports n’ont pas dépeint un portrait précis et sont exagérés. En temps normal, les données sur la carte microSD le disque dur, ne sont pas exposées. Cependant, si un utilisateur télécharge un logiciel malveillant ou un virus, leur téléphone ordinateur sera en danger… .
Cryptage, ca leur dit quelque chose ?
#4
Comme Kaspersky le rappelait dans son dernier rapport sur les évolutions de la sécurité en 2013, Android concentre à lui seul 98 % des attaques mobiles.
Android est largement majoritaire aussi.
#5
#6
#7
J’adore le sous-titre à réalité ambivalente :)
#8
#9
En fait ce n’est pas l’appli qui est en cause mais la maniere dont est geré les informations personnelles (au seing meme de l’OS) auxquelles les autres applis (malveillantes ou pas) ont acces !!
car meme en cryptant/chiffrant ces informations, les autres applis peuvent tres bien les recuperer de maniere brute pour les transferer a des tiers
#10
#11
#12
D’une part, serait-il possible à WhatsApp de mieux sécuriser les données quand elles se trouvent sur une carte SD afin de les rendre inexploitables par une autre application ?
Android utilise un noyau linux et un système de fichier Ext (En fait il y en a une multitude de possibilité sur linux), et tout ce petit monde gère donc les autorisations de façon complexe. Le problème vient du FAT qui rappelons est toujours utilisé sur les cartes SD/clef USB et qui ne gere pas les autorisations complexes.
[Bref une app peut lire toute la carte SD si c’est dans ses permissions. Par contre si on a pas de carte SD ou de carte SD en FAT, une App comme Whatsapp peut créer un dossier Whatsapp et se donner l’autorisation à elle seule] . Résultat de tout ça les constructeurs comme Samsung sont obligé de mettre les carte SD en FAT, car quelle est l’utilité d’une carte SD non lisible par Windows? Le FAT est démodé et pas du tout sécurisé mais il va falloir se le coltiner encore longtemps, sauf si le cloud l’anéantit.
Pourquoi on a pas d’alternatives moderne mis en place? Car Microsoft bloque tout support d’autres système. [En fait Windows ne gère uniquement que le (ex)Fat et NTFS là ou par exemple Apple gere le ntfs/(ex)Fat/UFS/HFS/…..] Et ceux qui cherchent la raison; alors que les systèmes modernes et Open source existent et sont documenté depuis des années, la réponse est toute simple, Microsoft touche un pactole sur les Brevets du FAT et ne veut pas que ce racket s’arrête. D’où le choix de certains marques d’abandonner le support de la carte SD purement et simplement. C’est le cas de Google qui a préféré par exemple faire l’impasse totale, pour des questions de couts et de sécurité.
[Il est à noter qu’une court fédérale allemande a invalidé les brevets FAT il y a 3mois, donc faudra voir l’évolution]
#13
#14
#15
J’ai remarqué que la base de données d’iMessage sur OSX est également clairement lisible par toutes applications. C’est juste un manque de sécurité plutôt qu’une faille.
#16
#17
#18
La solution est pourtant simple désinstaller Whatsapp et installer surespot a la place. Gratuit, chiffré, décentralisé, fessebouc-free… et must du must. Bien sur… Libre!
lien
#19
#20
C’est sur qu’une appli communicante que tu es le seul à utiliser perd un chouilla de son utilité mais au moins t’es pas emmerdé avec des soucis de sécurité
" />
#21
#22
#23
#24