Les services de messagerie populaires sont extrêmement peu sûrs et compromettent vos données personnelles
Le SMS, ça vous dit quelque chose? Chez la plupart d’entre nous, ce terme (acronyme de "Short Message System") est déjà logé dans une case mémoire lointaine, et pour cause, on ne l’utilise plus ! Depuis l’arrivée des applications de messagerie gratuite telles que WhatsApp, Telegram ou Messenger de Facebook, nous communiquons désormais uniquement via ces dernières, le bon vieux SMS étant devenu obsolète. Mais ces nouvelles façons de communiquer ne sont pas sans risque pour vos données personnelles. Récemment, des chercheurs de l’Université technique de Darmstadt et de l’Université de Würzburg, montrent que les services de messagerie mobile populaires exposent des données personnelles via des services de découverte qui permettent aux utilisateurs de trouver des contacts à partir de numéros de téléphone de leur carnet d’adresses.
Lors de l’installation d’une application de messagerie mobile comme WhatsApp, les nouveaux utilisateurs peuvent instantanément commencer à envoyer des messages à leurs contacts existants en se basant sur les numéros de téléphone stockés sur leur appareil. Pour ce faire, les utilisateurs doivent autoriser l’application à accéder à leur carnet d’adresses et à le télécharger régulièrement sur les serveurs de l’entreprise dans le cadre d’un processus appelé "découverte de contacts mobiles". Ce processus étant, une fois autorisé, totalement invisible.
Une étude récente menée par une équipe de chercheurs du Secure Software Systems Group de l’université de Würzburg et du Cryptography and Privacy Engineering Group de l’université technique de Darmstadt, révèle que les services de découverte de contacts actuellement déployés menacent la vie privée de milliards d’utilisateurs.
En utilisant très peu de ressources, les chercheurs ont pu réaliser des attaques pratiques sur les services populaires WhatsApp, Signal et Telegram. Les résultats de ces expériences démontrent que des utilisateurs malveillants ou des pirates informatiques peuvent collecter des données sensibles à grande échelle et sans restrictions notables en interrogeant les services de découverte de contacts pour obtenir des numéros de téléphone aléatoires.
Des modèles de comportement précis pour récolter des informations plus ciblées
Pour cette étude approfondie, les chercheurs ont interrogé 10% de tous les numéros de téléphone portable américains pour WhatsApp et 100% pour Signal. Ils ont ainsi pu recueillir des données personnelles (méta) couramment stockées dans les profils d’utilisateurs d’applications de messagerie, notamment des photos de profil, des surnoms, des textes de statut et la date de la dernière connexion.
Les données analysées révèlent également des statistiques intéressantes sur le comportement des utilisateurs. Par exemple, très peu d’utilisateurs modifient les paramètres de confidentialité par défaut, qui pour la plupart des services de messagerie ne sont pas du tout respectueux de la vie privée. Les chercheurs ont découvert qu’environ 50% des utilisateurs de WhatsApp aux États-Unis ont une photo de profil publique et 90% un texte "À propos" public. Il est intéressant de noter que 40% des utilisateurs de Signal, dont on peut supposer qu’ils sont plus soucieux du respect de la vie privée en général, utilisent également WhatsApp, et que tous les autres utilisateurs de Signal ont une photo de profil publique sur WhatsApp.
Le suivi de ces données dans le temps permet aux attaquants de construire des modèles de comportement précis. Lorsque les données sont mises en correspondance sur les réseaux sociaux et les sources de données publiques, des tiers peuvent également établir des profils détaillés, par exemple pour escroquer les utilisateurs. Pour Telegram, les chercheurs ont découvert que son service de recherche de contacts expose des informations sensibles même sur les propriétaires de numéros de téléphone qui ne sont pas enregistrés auprès du service.
Les informations qui sont révélées lors de la découverte des contacts et qui peuvent être collectées par des attaques par crawling dépendent du fournisseur de services et des paramètres de confidentialité de l’utilisateur. WhatsApp et Telegram, par exemple, transmettent l’intégralité du carnet d’adresses de l’utilisateur à leurs serveurs.
D’autres services de messagerie plus soucieux de la protection de la vie privée, comme Signal, ne transmettent que de courtes valeurs de hachage cryptographique des numéros de téléphone ou s’appuient sur du matériel sûr. Cependant, l’équipe de recherche montre qu’avec les nouvelles stratégies d’attaque optimisées, la faible entropie des numéros de téléphone permet aux attaquants de déduire les numéros de téléphone correspondants des hachages cryptographiques en quelques millisecondes.
De plus, comme il n’y a pas de restrictions notables pour s’inscrire à des services de messagerie, tout tiers peut créer un grand nombre de comptes pour explorer la base de données d’une application de messagerie, à la recherche d’informations en demandant des données pour des numéros de téléphone aléatoires. "Nous conseillons vivement à tous les utilisateurs d’applications de messagerie de revoir leurs paramètres de confidentialité. C’est actuellement la protection la plus efficace contre les attaques par crawl que nous avons étudiées", conviennent le professeur Alexandra Dmitrienko de l’Université de Würzburg et le professeur Thomas Schneider du TU Darmstadt.
Les prestataires de services améliorent leurs mesures de sécurité
L’équipe de recherche a fait part de ses conclusions aux fournisseurs de services respectifs. En conséquence, WhatsApp a amélioré ses mécanismes de protection de sorte que les attaques à grande échelle puissent être détectées, et Signal a réduit le nombre de requêtes possibles pour compliquer le crawling. Les chercheurs ont également proposé de nombreuses autres techniques d’atténuation, notamment une nouvelle méthode de découverte des contacts qui pourrait être adoptée pour réduire encore l’efficacité des attaques sans nuire à la convivialité.
Source: Encypto