Whatsapp appartenant à Meta, il est normal de douter de sa véracité quand il s’agit de vie privée. Mais cette fois-ci, c’est une astuce tout autre qui permet d’évaluer avec une étonnante précision la localisation d’un individu à l’aide d’un simple message.
Whatsapp, des messages instantanés qui révèlent bien des choses
Quand on envoie un message à quelqu’un sur Whatsapp, il existe un système pour savoir si la personne en face l’a bien reçu et lu. Quand le message s’envoie, une première petite validation s’affiche dans la bulle de message. Ensuite, quand le message est effectivement parvenu au destinataire, une deuxième icône de validation apparaît. Enfin, quand le receveur clique sur le message pour le lire, c’est là que les icônes se changent en bleu.
Plutôt pratique pour connaître l’avancée d’un message que l’on vient d’envoyer. Il est même possible d’afficher l’heure à la minute près où chaque message a été transmis ou lu par le destinataire.
Mais c’est dans cette manière de faire que réside une faille. l’application Whatsapp appartient à Meta, la société derrière Facebook. On connaît bien les fameux entretiens de Mark Zuckerberg avec le gouvernement américain qui lui demande des explications sur les facéties de son entreprise, qui aurait enfreint à plusieurs reprises des lois liées à la vie privée et aux données personnelles.
Mais pour cette fois, Mark n’y est pour rien, et il serait possible de connaître la position du destinataire d’un message à l’aide d’une petite astuce.
Connaître la localisation de son interlocuteur avec le délai d’envoi du message
Ne vous inquiétez pas, il ne s’agit pour l’instant que de chercheurs qui ont effectué cette découverte assez surprenante. En effet, plusieurs applications dont Whatsapp mais aussi Signal ou Threema pourraient être les cibles d’attaques potentielles visant à obtenir la localisation d’une personne rien qu’en lui envoyant un message.
Il s’agit d'une méthode utilisant le système de validation de l’envoi des messages. Pour faire simple, quand on envoie un message à quelqu’un, la deuxième icône de validation indiquant que le message est bien parvenu au destinataire met un certain temps pour apparaître. Ce délai serait une indication quant à la distance qui sépare l’émetteur du message du récepteur.
C’est Restore Privacy qui nous dévoile cette trouvaille :
Une équipe de chercheurs a découvert qu'il est possible de déduire les emplacements des utilisateurs d'applications de messagerie instantanée populaires avec une précision pouvant dépasser les 80 % en lançant une attaque de synchronisation spécialement conçue. L'astuce consiste à mesurer le temps mis par l'attaquant pour recevoir la notification d'état de de délivrance du message envoyé à la cible.
Le plus problématique, c’est qu’il n’y a pas besoin que le destinataire réponde ni même clique sur le message pour que cela fonctionne. Bien sûr, ce n’est pas monsieur et madame tout le monde qui est capable de bidouiller dans l’application Whatsapp pour récupérer les paquets de données liés à la durée exacte de l’arrivée du message pour établir un périmètre de localisation de la cible.
Comment se protéger de ces attaques ?
Alors même que les chances pour que vous soyez visé sont infimes, si vous voulez dormir sur vos deux oreilles, vous pouvez désactiver l’option qui affiche les icônes de confirmation d’envoi, de réception et de lecture. Cela fera de même pour vos interlocuteurs de leur côté.
Pour ce qui est de Whatsapp, générer des délais aléatoires d’affichage de cette seconde icône indiquant la réception du message permettrait d’empêcher cette technique sans empiéter sur la praticité de ce genre d’information.