Utilisez-vous WhatsApp? Eh bien, sachez qu’un hacker peut tout à fait modifier le contenu de vos messages ou encore vous attribuer le commentaire d’un autre auteur. Bref, c’est la porte ouverte aux «fake news» et à la fraude! Tel est, en somme, l’avertissement lancé cette semaine par Oded Vanunu de la compagnie israélienne Check Point Software Technologies, devant les plus grands experts en cybersécurité réunis à Las Vegas pour la conférence Black Hat.

Pire encore, Oded Vanunu assure que WhatsApp a été alerté il y a un an déjà mais que les failles n’ont toujours pas pu être réparées. L’ironie de l’histoire, c’est que selon cet expert, la résolution du problème est rendue particulièrement difficile en raison du système d’encryptage dont se targue la célèbre messagerie instantanée rachetée par Facebook. Un système censé garantir la confidentialité des échanges…

A portée de tous

Les failles découvertes par les chercheurs de Check Point se nichent dans la fonction «citation» de WhatsApp. En temps normal, celle-ci vous permet de sélectionner, parmi les messages de votre interlocuteur, celui auquel vous voulez réagir, puis de le republier suivi de votre commentaire. Le hic, c’est que lors d’une conversation en groupe un utilisateur malveillant peut modifier le message republié. Et il peut aussi changer l’identité de l’expéditeur ou inventer un nouveau participant.

Curieusement, lors de sa présentation à Las Vegas, la société Check Point a annoncé le lancement d’un outil pour permettre à tout usager de WhatsApp d’exploiter cette faille. Une manière un peu paradoxale de vanter l’excellence de ses chercheurs? Non, assure Oded Vananu, il s’agit de provoquer une prise de conscience. «Nous pensons qu’il est de notre devoir d’aggraver la situation», a-t-il expliqué à la presse. «WhatsApp dessert 1,5 milliard d’utilisateurs, un tiers de la population mondiale (ndlr: connectée). C’est notre responsabilité. Il y a un gros problème avec les fausses nouvelles et la manipulation. On ne peut pas juste mettre ça de côté et dire: Okay, il ne s’est rien passé!»

Coup sur coup

Autant dire que la réputation de WhatsApp en prend un coup. Un de plus. En mai déjà, le «Financial Times» révélait qu’il avait suffi à des hackers de lancer un appel manqué par WhatsApp pour parvenir à infecter des smartphones en installant un logiciel espion – possiblement le spyware Pegasus que l’entreprise israélienne NSO Group fournit à divers gouvernements. Cette faille-là, heureusement, a été résolue avec la dernière mise à jour de la messagerie instantanée.

Bref, la sécurité de WhatsApp est toute relative. Même les communications chiffrées ne sont pas une garantie. «Si quelqu’un à distance peut espionner votre écran, il peut lire ce que vous écrivez avant chiffrage… ou un message reçu que vous lisez après déchiffrage», nous expliquait récemment Stéphane Koch, spécialiste suisse de la cybersécurité et vice-président de l’entreprise ImmuniWeb. Et l’encryption ne sert évidemment à rien si vous avez une conversation en groupe, par exemple dans un cadre commercial ou… lors d’une campagne politique.