Détection de problèmes SSL dans WhatsApp

L'annonce de l'achat du service de messagerie mobile WhatsApp par Facebook a fait la une de l'actualité technologique cette semaine. L'intérêt suscité s'explique principalement par la somme astronomique de 19 milliards de dollars, mais également dans une moindre mesure, par la rapidité incroyable de la croissance de la société. Tandis que les experts et les clients analysaient la transaction, des chercheurs en sécurité ont décidé de se pencher sur la sécurité de l'application WhatsApp en elle-même.

WhatsApp est un service de messagerie texte et multimédia qui fonctionne sur le réseau Internet et non pas sur un réseau de données cellulaire. Après avoir connu un démarrage lent, le nombre d'utilisateurs de l'application a explosé au cours des deux dernières années et aujourd'hui, il s'élève à 450 millions. Les chercheurs en sécurité de Praetorian, à l'origine du projet Neptune chargé d'évaluer la sécurité des applications mobiles, a réalisé une évaluation restreinte des versions iOS et Android de WhatsApp et ils ont mis en évidence quelques problèmes relatifs à la manière dont l'application utilise le protocole SSL.

Le problème le plus grave mis en évidence est la non application dans WhatsApp de l'épinglage de certificat. Celui-ci permet aux applications de définir un certificat en particulier auquel elles font confiance pour un serveur donné. Cette technique permet de déjouer de nombreuses attaques, dont les attaques de l'homme du milieu qui reposent sur l'usurpation du certificat pour un site de confiance. De nos jours, de nombreux navigateurs Internet prennent en charge l'épinglage de certificat, mais sa pénétration dans le milieu mobile est plus réduite. Praetorian a découvert que WhatsApp n'adopte pas l'épinglage SSL, ce qui pourrait exposer les utilisateurs à des attaques de l'homme du milieu.

"Après quelques minutes, le projet Neptune avait identifié plusieurs problèmes de sécurité liés à SSL qui concernaient la confidentialité des données des utilisateurs de WhatsApp en transit vers les serveurs principaux. C'est le genre de scénario dont la NSA raffole. En gros, la NSA, ou n'importe quel autre attaquant, pourrait agir sur la connexion comme homme du milieu et réduire le niveau de chiffrement afin de pouvoir déchiffrer le trafic et le surveiller. Ces problèmes de sécurité mettent les informations et les communications des utilisateurs de WhatsApp en danger" écrit Paul Jauregui de chez Praetorian dans une explication du test réalisé.

"Lorsque WhatsApp établit une connexion de confiance entre l'application mobile et les services Web principaux, elle ne réalise pas l'épinglage SSL. Sans cet épinglage SSL, un attaquant pourrait s'en prendre à la connexion entre les applications mobiles et les services Web principaux. L'attaquant pourrait ainsi obtenir les informations d'authentification de l'utilisateur, les identifiants de session ou d'autres informations sensibles."

Paul Jauregui a également déclaré dans un entretien réalisé par courrier électronique que malheureusement, il était rare de voir des applications mobiles qui adoptaient l'épinglage de certificat.

"Aussi surprenant que cela puisse paraître, il est très fréquent de voir des applications mobiles sans épinglage de certificat. Cette mesure de sécurité permet d'empêcher qu'un attaquant puisse voir et modifier tout le trafic qui circule entre l'appareil mobile et le serveur principal. Elle offre également une protection contre les défaillances de confiance de l'autorité de certification durant les négociations entre le client et le serveurs qui, associés à la prise en charge de chiffres faibles ou nuls (texte brut), comme c'est le cas dans WhatsApp, est un point encore plus inquiétant" a-t-il déclaré.

Les chercheurs ont également trouvé d'autres problèmes moins graves comme la prise en charge de l'absence de chiffrement, ce qui signifie que les données ne sont pas du tout chiffrées.

"Quand l'absence de chiffrement est prise en charge, si l'application mobile client tente de communiquer avec le serveur via SSL et qu'aucune des deux parties ne prend en charge aucune des suites de chiffrement communes, suite à une interception malveillante, elle envoie les données en clair. Cette caractéristique est assez rare et nous ne l'avons pas souvent rencontrée" explique Paul Jauregui.

La sécurité des applications pour appareils mobiles est à la traîne sur de nombreux points par rapport à celle des applications de bureau ou Internet. Les développeurs ont adopté de nouvelles plateformes et sont confrontés à de nombreux problèmes de sécurité qui sont identiques à ceux qu'ils avaient du résoudre il y a plusieurs années sur Internet. Ce n'est pas la première fois que des chercheurs découvrent des problèmes de sécurité dans WhatsApp. Il y plusieurs années de cela, des chercheurs avaient signalé que l'application envoyait les données en clair et d'autres avaient découvert qu'ils pouvaient utiliser une API pour détourner n'importe quel compte.

Il existe plusieurs manières de résoudre le problème de l'épinglage de certificat. D'après Paul Jauregui, tout dépend de ce que les développeurs souhaitent faire.

"Le niveau d'efforts peut varier en fonction de la manière dont les développeurs décident de mettre en œuvre l'épinglage de certificat. Epingler le certificat en lui-même est la manière la plus simple, mais elle requiert plus de maintenance au fil du temps car les développeurs devront introduire des modification dans l'application chaque fois que le certificat changera. Une autre méthode consiste à épingler la clé publique, mais cette option est plus complexe. La sélection de la méthode la mieux adaptée dépend souvent de la fréquence des changements du certificat en lui-même" a déclaré Paul Jauregui.

http://threatpost.com/researchers-find-ssl-problems-in-whatsapp/104411

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *