Piratage de la cybersécurité

WhatsApp, Signal & Co: des milliards d’utilisateurs vulnérables aux attaques contre la confidentialité.

Des chercheurs de l’Université technique de Darmstadt et de l’Université de Würzburg montrent que les messagers mobiles populaires exposent des données personnelles via des services de découverte qui permettent aux utilisateurs de trouver des contacts en fonction des numéros de téléphone de leur carnet d’adresses.

Lors de l’installation d’un messager mobile comme WhatsApp, les nouveaux utilisateurs peuvent instantanément commencer à envoyer des SMS aux contacts existants en fonction des numéros de téléphone stockés sur leur appareil. Pour que cela se produise, les utilisateurs doivent accorder à l’application l’autorisation d’accéder et de télécharger régulièrement leur carnet d’adresses sur les serveurs de l’entreprise dans le cadre d’un processus appelé découverte de contacts mobiles. Une étude récente menée par une équipe de chercheurs du Secure Software Systems Group de l’Université de Würzburg et du Cryptography and Privacy Engineering Group de TU Darmstadt montre que les services de découverte de contacts actuellement déployés menacent gravement la vie privée de milliards d’utilisateurs. En utilisant très peu de ressources, les chercheurs ont pu effectuer des attaques d’exploration pratiques sur les messagers populaires WhatsApp, Signal et Telegram. Les résultats des expériences démontrent que les utilisateurs malveillants ou les pirates peuvent collecter des données sensibles à grande échelle et sans restrictions notables en interrogeant les services de découverte de contacts pour des numéros de téléphone aléatoires.

Les attaquants sont autorisés à créer des modèles de comportement précis

Pour l’étude approfondie, les chercheurs ont interrogé 10% de tous les numéros de téléphone mobile américains pour WhatsApp et 100% pour Signal. Ils ont ainsi pu recueillir des (méta) données personnelles généralement stockées dans les profils d’utilisateur des messagers, notamment des photos de profil, des surnoms, des textes d’état et la date de la «dernière connexion». Les données analysées révèlent également des statistiques intéressantes sur le comportement des utilisateurs. Par exemple, très peu d’utilisateurs modifient les paramètres de confidentialité par défaut, qui pour la plupart des messagers ne sont pas du tout respectueux de la confidentialité. Les chercheurs ont découvert qu’environ 50% des utilisateurs de WhatsApp aux États-Unis ont une photo de profil public et 90% un texte public «À propos». Fait intéressant, 40% des utilisateurs de Signal, que l’on peut supposer être plus concernés par la confidentialité en général, utilisent également WhatsApp, et tous les autres utilisateurs de Signal ont une photo de profil publique sur WhatsApp. Le suivi de ces données au fil du temps permet aux attaquants de créer des modèles de comportement précis. Lorsque les données sont mises en correspondance sur les réseaux sociaux et les sources de données publiques, des tiers peuvent également créer des profils détaillés, par exemple pour arnaquer les utilisateurs. Pour Telegram, les chercheurs ont constaté que son service de recherche de contacts expose des informations sensibles, même sur les propriétaires de numéros de téléphone qui ne sont pas enregistrés auprès du service.

Les informations révélées lors de la découverte de contacts et pouvant être collectées via des attaques d’exploration dépendent du fournisseur de services et des paramètres de confidentialité de l’utilisateur. WhatsApp et Telegram, par exemple, transmettent l’intégralité du carnet d’adresses de l’utilisateur à leurs serveurs. Les messagers plus soucieux de la confidentialité, comme Signal, ne transfèrent que des valeurs de hachage cryptographiques courtes des numéros de téléphone ou reposent sur du matériel de confiance. Cependant, l’équipe de recherche montre qu’avec de nouvelles stratégies d’attaque optimisées, la faible entropie des numéros de téléphone permet aux attaquants de déduire les numéros de téléphone correspondants à partir de hachages cryptographiques en quelques millisecondes. De plus, comme il n’y a pas de restrictions notables pour l’inscription aux services de messagerie, tout tiers peut créer un grand nombre de comptes pour explorer la base de données des utilisateurs d’un messager à la recherche d’informations en demandant des données pour des numéros de téléphone aléatoires. «Nous conseillons vivement à tous les utilisateurs d’applications de messagerie de revoir leurs paramètres de confidentialité. Il s’agit actuellement de la protection la plus efficace contre les attaques d’exploration qui ont fait l’objet d’enquêtes », conviennent le professeur Alexandra Dmitrienko (Université de Würzburg) et le professeur Thomas Schneider (TU Darmstadt).

Impact des résultats de la recherche: les prestataires améliorent leurs mesures de sécurité

L’équipe de recherche a fait part de ses conclusions aux fournisseurs de services respectifs. En conséquence, WhatsApp a amélioré ses mécanismes de protection de sorte que les attaques à grande échelle puissent être détectées, et Signal a réduit le nombre de requêtes possibles pour compliquer l’exploration. Les chercheurs ont également proposé de nombreuses autres techniques d’atténuation, y compris une nouvelle méthode de découverte de contacts qui pourrait être adoptée pour réduire davantage l’efficacité des attaques sans nuire à la convivialité.

Tous les résultats sont décrits dans l’article «All the Numbers are US: Large-scale Abuse of Contact Discovery in Mobile Messengers», par Christoph Hagen, Christian Weinert, Christoph Sendner, Alexandra Dmitrienko, Thomas Schneider, qui sera présenté en février 2021 à le 28. Symposium annuel sur la sécurité des réseaux et des systèmes distribués (NDSS), une conférence de premier plan pour la sécurité informatique.
PDF