Skype teste une fonction de conversation chiffrée de bout en bout. Microsoft s'appuie sur le protocole Signal développé par Open Whisper Systems, qui est aussi utilisé dans bon nombre de messageries instantanées (dans Messenger de Facebook, Allo de Google…). Skype offre déjà un certain degré de protection des communications, mais jusqu'à présent cela n'allait pas jusqu'à ce type de chiffrement très sécurisé.
Pour profiter de cette fonction, il faut utiliser la dernière version "insider" de Skype (numérotée 8.13.76.8) disponible sur macOS, Windows, iOS, Android et Linux. Le chiffrement de bout en bout n'est disponible que dans le cadre d'une discussion texte, pour des messages audio et l'envoi de fichiers ; en revanche, les conversations audio et vidéo ne sont pas prises en charge. Et il faut discuter avec un correspondant qui utilise lui aussi le logiciel dans la version insider, en attendant un déploiement grand public.
Des trous dans WhatsApp
La sécurité, c'est compliqué. Lors de la conférence sur la sécurité Real World Crypto de Zurich, une équipe de chercheurs a mis au jour une série de vulnérabilités qui frappent les applications Threema, Signal et WhatsApp (ces deux dernières utilisant le protocole Signal).
Pour Threema et Signal, les failles sont « relativement inoffensives », mais ce n'est pas le cas pour WhatsApp, qui a activé le chiffrement de bout en bout il y a deux ans. Les fins limiers ont montré qu'un malandrin ayant accès aux serveurs de WhatsApp pouvait sans effort ajouter un nouveau membre dans un groupe de conversation privée.
Le malotru peut alors écouter aux portes et lire les messages. Cette attaque tire profit d'un bug : seul l'administrateur d'un groupe WhatsApp peut inviter de nouveaux membres, mais le service n'utilise pas de mécanisme d'authentification pour l'invitation, décrit Wired. Le serveur de WhatsApp peut alors ajouter des utilisateurs dans le groupe, sans avoir besoin de l'aval de l'admin.
L'intrus obtient automatiquement les clés secrètes de tous les participants, ce qui lui permet de déchiffrer ensuite tous leurs messages à venir. Le chiffrement de bout en bout signifie pourtant que seuls les correspondants peuvent lire les messages, pas les serveurs. Et ce, même si ces derniers sont compromis. « C'est complètement foireux », se désole un professeur de cryptographie qui a examiné la recherche. « Il n'y a pas d'excuse ».
Un porte-parole de WhatsApp a reconnu l'existence de cette faille, tout en soulignant le fait qu'il est impossible d'ajouter de nouveaux participants sans que les membres du groupe n'en soient prévenus : une notification alerte en effet tout le monde qu'un nouveau membre inconnu vient de rejoindre la conversation. L'administrateur du groupe peut dès lors créer un nouveau groupe, sans le butor malpoli.
WhatsApp explique également que contourner cette vulnérabilité reviendrait à supprimer une fonction de l'application qui permet d'envoyer un lien d'invitation à un groupe : il suffit de cliquer sur ce lien pour rejoindre une conversation. Le bug, connu de WhatsApp depuis juillet dernier, ne se qualifierait même pas pour le programme de bug bounty de Facebook, le proprio de l'app.
