Home Technologie et science3 milliards d’utilisateurs WhatsApp en danger, outil développé pour surveiller tous les utilisateurs > Hardware News

3 milliards d’utilisateurs WhatsApp en danger, outil développé pour surveiller tous les utilisateurs > Hardware News

by Thomas Caron

Une nouvelle technique de pistage, baptisée « Silent Whisper », permet de surveiller l’activité d’un smartphone à l’insu de son utilisateur en exploitant les mécanismes de confirmation de réception des applications de messagerie. Cette méthode, qui cible principalement WhatsApp et Signal, soulève des inquiétudes quant à la surveillance comportementale et à l’impact sur l’autonomie des appareils.

Le principe repose sur l’analyse du temps de réponse des accusés de réception de messages, ces confirmations automatiques échangées lors de l’envoi et de la réception de messages. En sondant un numéro de téléphone à plusieurs reprises, un attaquant peut déduire des informations sur l’utilisation du téléphone – actif, inactif, connecté au Wi-Fi ou aux données mobiles – sans envoyer de messages visibles ni déclencher de notifications.

Des tests menés sur différents modèles de smartphones ont révélé une consommation de batterie anormalement élevée lors de ces activités de pistage. L’iPhone 13 Pro a ainsi affiché une perte de 14 % de batterie par heure, contre 18 % pour l’iPhone 11 et 15 % pour le Samsung Galaxy S23, alors que la consommation en veille se situe généralement en dessous de 1 % par heure. Signal, grâce à des limitations de vitesse plus strictes, a montré une consommation de seulement 1 % par heure dans les mêmes conditions.

Au-delà de l’autonomie, cette technique affecte également l’utilisation des données mobiles et peut perturber les applications nécessitant une bande passante importante, comme les appels vidéo. L’analyse des variations du temps de réponse permet de reconstituer les habitudes quotidiennes, les heures de sommeil et les déplacements d’une personne, sans avoir accès au contenu de ses messages ou à sa liste de contacts.

Si cette vulnérabilité a déjà été identifiée dans des travaux de recherche, son efficacité a été récemment démontrée avec la publication d’un outil de validation accessible au public. Cet outil permet d’effectuer des sondages à des intervalles très courts, de l’ordre de 50 millisecondes, rendant la surveillance particulièrement discrète. Bien que son développeur insiste sur le caractère purement académique de ce logiciel et mette en garde contre tout abus, sa disponibilité publique suscite des inquiétudes quant à une utilisation malveillante.

La désactivation des confirmations de lecture sur les applications de messagerie peut limiter l’exposition à cette technique, mais ne la bloque pas complètement. WhatsApp propose une option pour filtrer les messages en masse provenant de numéros inconnus, sans toutefois préciser les critères d’application de ce filtre. Signal offre également des paramètres supplémentaires, mais les chercheurs ont constaté que le pistage reste possible.

À ce stade, les logiciels antivirus classiques ne sont pas en mesure de détecter ces exploits qui opèrent au niveau du protocole. Les services prétendant protéger contre l’usurpation d’identité ou supprimer les logiciels malveillants s’avèrent donc peu efficaces en l’absence d’installation de logiciels malveillants sur l’appareil. Le risque principal réside moins dans le vol de données que dans la surveillance continue des comportements, difficilement perceptible par les utilisateurs.

La vulnérabilité reste exploitable jusqu’en décembre 2025, selon les informations disponibles.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.