Les messages WhatsApp « Afficher une fois » sont bien plus permanents que vous ne le pensez
Les chercheurs ont découvert une vulnérabilité inquiétante, puis une autre…
Si vous envoyez un message, une photo ou une vidéo « Afficher une fois » via WhatsApp, ne soyez pas sûr que le destinataire ne puisse pas le revoir.
Les chercheurs en sécurité du portefeuille cryptographique ZenGo ont récemment découvert un bug qui permettait aux utilisateurs de WhatsApp d'afficher les messages « Afficher une fois » autant de fois qu'ils le souhaitaient.
En réponse, WhatsApp a corrigé le problème. Mais les chercheurs de ZenGo ont ensuite découvert un autre exploit dans le correctif temporaire de WhatsApp qui leur a permis une fois de plus d'accéder à ces messages qui avaient soi-disant disparu.
Exploit de WhatsApp View Once
WhatsApp a lancé sa fonctionnalité View Once en 2021. View Once permet aux utilisateurs d'envoyer des textes, des photos et des vidéos qui disparaissent après que le destinataire y ait accédé initialement.
De plus, pour garantir le caractère éphémère de ces messages, WhatsApp désactive l'utilisation des captures d'écran dans l'application sur les messages View Once via iOS et Android. De plus, WhatsApp limite les messages View Once aux applications mobiles uniquement.
Cependant, dans un article publié la semaine dernière, Tal Be'ery, responsable de la recherche en sécurité de ZenGo, a détaillé un exploit qui permettait à son équipe d'accéder aux messages View Once encore et encore.
En gros, comme l'explique Be'ery, les messages View Once ne sont visibles dans les applications mobiles qu'après avoir été consultés. Le média continue d'exister sur les serveurs de WhatsApp. Si un utilisateur peut trouver l'URL du fichier multimédia, il peut accéder au message ou au fichier multimédia qui était censé avoir disparu.
Be'ery a contacté Meta, la société mère de WhatsApp, pour signaler l'exploit via son programme de bug bounty le 26 août. Mais il était trop tard. Be'ery a rapidement découvert que le bug était déjà présent, car une extension Chrome est apparue, permettant aux utilisateurs d'accéder à leurs messages View Once déjà consultés via l'application Web de WhatsApp. ZenGo a rendu public l'exploit et a publié son rapport la semaine dernière, le 9 septembre.
Correction et exploit de Meta #2
Il semble que le problème ait été pris au sérieux par Meta, du moins après que Be'ery ait rendu public l'exploit. Meta semble avoir publié un correctif pour le bug View Once de WhasApp le 12 septembre.
Selon un nouveau rapport de Be'ery, le patch de Meta « modifie la manière dont les messages multimédias View Once sont enregistrés dans les bases de données de l'application et supprime certaines des informations qui permettent la visualisation des médias ».
Il semble que le correctif ait également cassé l'extension Chrome « View Once Photos Bypass » mentionnée précédemment.
Le tweet a peut-être été supprimé
Mais, selon Be'ery, la solution n'est « toujours pas suffisante » et peut être exploitée avec une solution de contournement. En fait, comme Be'ery l'a découvert, le créateur de l'extension Chrome View Once bypass a publié une mise à jour indiquant qu'ils avaient déjà découvert un nouvel exploit permettant d'accéder à nouveau aux médias View Once.
Be'ery a également publié une vidéo montrant comment les messages View Once sont toujours accessibles.
Meta a indiqué à Indigo Buzz qu'elle prenait plusieurs mesures pour résoudre le problème de View Once. La solution initiale était censée être temporaire, le temps que Meta restructure le fonctionnement de View Once dans WhatsApp sur le Web.
« Comme nous l'avons déjà dit, nous sommes en train de déployer plusieurs mises à jour de View Once sur le Web », a déclaré un porte-parole de WhatsApp à Indigo Buzz. « Ces mises à jour supplémentaires sont à venir. »
MISE À JOUR : 18 septembre 2024, 14 h 04 HAE Cet article a été mis à jour avec une déclaration et des informations supplémentaires de Meta.
