Face à des cyberattaques de plus en plus nombreuses et sophistiquées, WhatsApp se dote de trois nouvelles fonctions de sécurité pour éviter les usurpations d'identité et garantir que les conversations restent bien privées.

Avec plus de 2 milliards d'utilisateurs dans le monde, WhatsApp est régulièrement ciblé par les cybercriminels, qui tentent d'utiliser la célèbre messagerie pour s'emparer de données personnelles des utilisateurs, pirater leurs appareils ou leur soutirer de l'argent. En ce moment, l'escroquerie dite du "texto à six chiffres", ou un "ami" contacte la victime pour lui transmettre le code qu'elle vient de recevoir, fait des ravages (voir notre article). Une des principales menaces vient des logiciels malveillants qui prennent le contrôle des smartphones pour envoyer des messages indésirables via les comptes des victimes. Aussi, même si WhatsApp est chiffré de bout en bout – ce qui empêche les pirates de voir le contenu des messages, les expéditeurs et les destinataires étant les seuls capables de les lire – et que la double authentification limite le vol de compte, Meta a décidé de renforcer la sécurité de sa messagerie instantanée grâce à plusieurs fonctions, qui doivent offrir "plus de confidentialité et plus de contrôle sur vos messages", comme elle l'annonce dans un billet de blog. Elles seront déployées dans les mois à venir et automatiquement appliquées.

WhatsApp Device Verification : une protection contre les malwares

La première fonction, baptisée Device Verification, a pour but de lutter contre les logiciels malveillants. En effet, avec le chiffrement de bout en bout, personne – pas même WhatsApp – ne peut lire les messages envoyés entre les utilisateurs. Ces derniers sont donc protégés contre les interceptions, mais restent vulnérables si les cybercriminels infectent les points finaux de la communication, à savoir les appareils mobiles eux-mêmes. Dans ce cas, les pirates peuvent subtiliser la clé d'authentification, et donc usurper l'identité de la victime afin d'envoyer des spams, des escroqueries ou des messages de phishing à d'autres victimes potentielles.

C'est pourquoi Meta a décidé d'ajouter des vérifications pour authentifier le compte et mieux protéger l'utilisateur si appareil a été compromis. La vérification de l'appareil introduit trois nouveaux paramètres pour "empêcher les logiciels malveillants de voler la clé d'authentification et de se connecter au serveur WhatsApp depuis l'extérieur de l'appareil de l'utilisateur" : un jeton de sécurité stocké sur l'appareil de l'utilisateur, un nonce – un nombre arbitraire utilisable une seule fois – pour identifier si quelqu'un se connecte pour récupérer un message du serveur WhatsApp, et un défi d'authentification en cas de connexion suspecte – un PING invisible envoyé par le serveur WhatsApp à l'appareil de l'utilisateur. Pour faire simple, ces différents éléments vont permettre de bloquer automatiquement les tentatives de piratages, sans que l'utilisateur ne soit perturbé. WhatsApp a commencé le déploiement de Device Verification sur Android et devrait bientôt en faire de même sur iOS.

Sécurité WhatsApp : des fonctions pour éviter les usurpations d'identité

WhatsApp va également accueillir deux autres nouvelles fonctions de sécurité. La première, nommée Account Protect (protection de compte en français), alerte l'utilisateur lorsque les comptes de la messagerie instantanée sont liés à de nouveaux appareils. Une fenêtre indiquant "Autorisez-vous le transfert de votre compte WhatsApp vers un autre téléphone ?" avec l'heure de tentative et l'appareil destinataire s'affiche sur l'appareil de l'utilisateur, afin de l'avertir en cas de tentative non autorisée d'utiliser son compte sur un autre appareil. S'il valide le transfert, le compte WhatsApp n'est alors plus disponible sur l'ancien appareil.

La seconde fonction, intitulée Automatic Security Codes (codes de sécurité automatiques en français), est "une fonction de sécurité cryptographique pour vérifier automatiquement une connexion sécurisée basée sur la transparence des clés". Ce dispositif est déjà proposé, mais sous une forme qui n'est pas des plus pratiques. En effet, dans les informations du contact, l'utilisateur peut vérifier que la conversation est sûre en cliquant sur "Chiffrement", puis en demandant au contact de confirmer le code de sécurité via un QR Code. Pour rendre ce processus plus simple et plus accessible, Meta déploie une nouvelle fonction de sécurité basée sur la technologie Key Transparency. En cliquant sur l'onglet "Chiffrement", les utilisateurs peuvent désormais vérifier immédiatement que leur conversation est sécurisée. Voilà qui fait gagner du temps !