Notebookcheck Logo

Les faiblesses de la sécurité de WhatsApp et de Signal permettent à des attaquants peu compétents de suivre les utilisateurs

Tracking WhatsApp (image symbolique créée avec Stable Diffusion)
Tracking WhatsApp (image symbolique créée avec Stable Diffusion)
Des chercheurs de l'Université de Vienne ont découvert des vulnérabilités dans WhatsApp et Signal qui permettent un suivi indétectable des utilisateurs grâce aux mesures du temps de transit (RTT). Un programme simple, désormais disponible sur GitHub, démontre la facilité avec laquelle cette faiblesse peut être exploitée.
Security Science Software Hack / Data Breach Social Media

Un groupe de chercheurs de l'université de Vienne a découvert une petite mais sérieuse faille de sécurité dans le fonctionnement des services de messagerie cryptée de bout en bout (E2EE). L'étude, publiée initialement le 17 novembre 2024 sous le titre "Careless Whisper : Exploiting Silent Delivery Receipts to Monitor Users on Mobile Instant Messengersmet en évidence la possibilité de suivre les appareils à l'aide des données RTT (Round-Trip Time) lorsque WhatsApp ou Signal sont installés.

Un programme permettant d'exploiter automatiquement cette vulnérabilité dans WhatsApp a été publié sur GitHub. Bien que la mise à disposition d'un tel outil soulève des questions éthiques, son objectif est de faire pression sur WhatsApp pour qu'il comble la faille de sécurité et améliore la protection de la vie privée des utilisateurs.

Il s'avère que l'idée de base de ce programme est étonnamment simple. Le traqueur envoie des messages de réaction à des identifiants de message inexistants. L'appareil cible répond toujours par un accusé de réception. Cette réaction, invisible pour l'utilisateur, révèle le temps nécessaire à l'envoi et à la réception de la requête manipulée - le RTT.

Bien que ces points de données ne permettent pas à eux seuls de localiser immédiatement un appareil, ils peuvent fournir des informations précieuses lorsqu'ils sont collectés sur de longues périodes. Les schémas des données RTT peuvent indiquer si un appareil est en cours d'utilisation ou en mode veille. Un type de connexion réseau, tel que Wi-Fi ou cellulaire, peut également être déduit. En analysant ces schémas d'activité sur des heures ou des jours, les attaquants peuvent tirer des conclusions sur le comportement de l'utilisateur. En outre, les requêtes constantes consomment l'autonomie de la batterie et les données mobiles du smartphone concerné.

Actuellement, les utilisateurs disposent d'options limitées pour se défendre contre cette méthode de traçage. Il n'y a pas de notifications sur les smartphones qui avertissent les utilisateurs d'une telle surveillance. Le numéro de téléphone de l'attaquant ne peut être obtenu, ce qui rend son blocage impossible. Ni Signal ni WhatsApp ne proposent actuellement d'option pour désactiver les accusés de réception. Une solution radicale est la seule option possible à l'heure actuelle. Supprimez de votre appareil tous les services de messagerie chiffrée de bout en bout concernés.

Please share our article, every link counts!
Mail Logo
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Nouvelles > Archives des nouvelles > Archives des nouvelles 2025 12 > Les faiblesses de la sécurité de WhatsApp et de Signal permettent à des attaquants peu compétents de suivre les utilisateurs
Marc Herter, 2025-12-11 (Update: 2025-12-11)