web-dev-qa-db-fra.com

Comment puis-je vérifier que WhatsApp utilise un chiffrement de bout en bout?

Nouvelles un peu anciennes: Whatsapp vient d'activer le cryptage de bout en bout pour des centaines de millions d'utilisateurs

Existe-t-il un test que je peux effectuer pour vérifier que WhatsApp utilise bien le chiffrement de bout en bout entre mon et un autre Android?

52
Ansis Māliņš

Il n'y a aucune vérification rapide que vous pouvez effectuer afin de vous assurer que le chiffrement de bout en bout est utilisé. Même si vous parvenez à obtenir cette confirmation, vous devez vous assurer que les clés de cryptage utilisées n'ont jamais quitté votre appareil (et l'appareil de votre ami). Si le cryptage de bout en bout est utilisé, mais que WhatsApp ou quelqu'un d'autre a accès aux clés de cryptage, le chat n'est plus confidentiel.

Il existe des informations disponibles qui peuvent permettre à un chercheur en sécurité de commencer à enquêter sur la question:

  • Le logiciel de cryptage est connu et le code est open source (même si nous ne savons pas quelles modifications ont été apportées à l'implémentation de WhatsApp)

WhatsApp intégrera le logiciel open source Textsecure, créé par Open Whisper Systems, un organisme à but non lucratif axé sur la confidentialité, qui brouille les messages avec une clé cryptographique à laquelle seul l'utilisateur peut accéder et ne quitte jamais son appareil.

P.S .: Il existe au moins un moyen de savoir s'ils n'utilisent pas le chiffrement de bout en bout et l'analyse du contenu de vos messages. Il y a quelque temps, un chercheur en sécurité a découvert que les URL envoyées dans les messages Skype sont accessibles à partir des adresses IP Microsoft ( link ). Vous pouvez essayer la même chose en configurant un serveur Web et en envoyant des URL uniques sur WhatsApp.

39
Dinu

Il y a quelque temps, j'ai fait du travail sur la rétro-ingénierie du protocole WhatsApp. À cette époque, il était crypté SSL sur Wi-Fi et en texte clair sur 3G. Il est possible de rooter votre Android et d'installer un renifleur de paquets local pour vider le trafic; il est également généralement possible d'installer le vôtre CA certificat racine à MITM Trafic SSL.

La question intéressante sera de savoir s'il est chiffré dans l'encapsuleur SSL, car SSL est périphérique à serveur, pas de bout en bout.

L'envoi d'un message M, devrait produire un paquet P, de données envoyées, éventuellement fragmentées. Si le périphérique de réception n'obtient pas P, mais obtient à la place quelque chose de différent, alors il n'est pas correctement chiffré de bout en bout ou il y a un système de "tunneling" en cours.

12
pjc50

Non, sauf si vous avez les ressources nécessaires pour insérer des renifleurs dans chaque emplacement intermédiaire, y compris les emplacements privés dans l'infrastructure WhatsApp.

6
Julian Knight

Pour être vraiment sûr, vous devez décompiler WhatsApp et vérifier ce que fait réellement le code. Cela peut être plus facile que prévu si la version Android Android est écrite en Java et n'est pas obscurcie. Je l'ai déjà fait auparavant et le code décompilé était étonnamment lisible).

Même après cela, il peut y avoir une faiblesse (non) intentionnelle intégrée au système qui permettrait le déchiffrement, comme l'infâme bug goto fail d'Apple .

2
JohnEye

Les messages WhatsApp sont déjà cryptés entre votre appareil et leurs serveurs, donc un renifleur de paquets ne fonctionnera pas. AFAIK, ils déploient le cryptage en silence et commencent par Android messages texte uniquement en premier. Donc, la seule façon dont je pourrais penser serait de faire de l'ingénierie inverse de l'application. Cependant, je pense que la dernière version de l'application Android fera de bout en bout.

1
MarkH