WhatsApp avait 4 failles de sécurité SSL béantes qui auraient compromis ses 430 millions d'identifiants et numéros de téléphone d'utilisateurs

Seulement quelques jours après que Facebook a annoncé son acquisition de l’application de messagerie mobile multiplateforme WhatsApp, un groupe de chercheurs a découvert des failles béantes dans l’appareil de sécurité de WhatsApp. Ces failles ont été identifiées et résumées par Praetorian. Praetorian a mis à l’épreuve sa nouvelle plateforme de test de sécurité des applications mobiles, Project Neptune, sur WhatsApp et le Project Neptune a révélé des résultats surprenants.

Seulement deux jours avant que WhatsApp ne fasse les gros titres en raison de son rachat annoncé de 19 milliards de dollars par le géant des réseaux sociaux Facebook. À la date de l’achat, WhatsApp comptait 430 millions d’utilisateurs actifs et ajoutait 1 million d’utilisateurs par jour. Imaginez les noms et numéros de téléphone de 430 millions d’utilisateurs fuités en ligne. C’est juste une théorie fantastique mais cela aurait été une réalité si le Project Neptune n’avait pas livré son rapport de sécurité.

En revenant sur les méga fuites de Snapchat sur Internet, le personnel de sécurité de WhatsApp a pris bonne note du rapport de Project Neptune et travaille assidûment à résoudre le problème, contrairement à Snapchat qui a même refusé de reconnaître la violation et a fait face à une situation embarrassante avec 4,6 millions d’identifiants d’utilisateurs fuités en ligne.

Praetorian explique comment il a réussi à exploiter les failles de sécurité de WhatsApp. Project Neptune est la nouvelle plateforme de test de sécurité des applications mobiles de Praetorian qui permet aux entreprises de suivre le rythme des cycles de développement mobile rapides en intégrant des tests de sécurité continus et à la demande. Et Praetorian a choisi WhatsApp comme programme de test bêta pour son nouveau Project Neptune.

En quelques minutes après le début des tests de sécurité de l’application mobile de Project Neptune sur WhatsApp, il a pu détecter pas moins de 4 problèmes de sécurité liés à SSL affectant la confidentialité des données des utilisateurs de WhatsApp qui transitent vers les serveurs back-end. C’est le genre de porte dérobée que la NSA et ses BigEyes adorent pour obtenir des données utilisateur en temps réel. Cela leur permet essentiellement, ou à un cybercriminel, de réaliser une attaque de type homme du milieu sur la connexion et de dégrader le chiffrement afin de pouvoir le casser et espionner le trafic ou télécharger des données utilisateur. Ces problèmes de sécurité mettent en danger les informations et les communications des utilisateurs de WhatsApp.

Praetorian a ensuite pris contact avec les ingénieurs de WhatsApp et ils sont censés s’attaquer à tous les problèmes de sécurité soulignés par le Project Neptune. Ci-dessous, les problèmes identifiés par Project Neptune et les actions prises par WhatsApp.

*SSL Pinning Non Appliqué WhatsApp ne réalise pas de SSL pinning lors de l’établissement d’une connexion de confiance entre les applications mobiles et les services web back-end. Sans SSL pinning appliqué, un attaquant pourrait réaliser une attaque de type homme du milieu sur la connexion entre les applications mobiles et les services web back-end. Cela permettrait à l’attaquant d’intercepter les identifiants utilisateur, les identifiants de session ou d’autres informations sensibles.
Mise à jour 21/02/2014 : WhatsApp travaille activement à l’ajout de SSL Pinning maintenant.*

Support des Chiffres de Chiffrement SSL Export Activé Les serveurs back-end de WhatsApp permettent l’utilisation de schémas de chiffrement faibles de 40 bits et 56 bits. Sans intervention malveillante, cela peut ne pas poser de problème, car l’application mobile et le serveur négocieront le chiffrement et se mettront d’accord sur le chiffrement le plus fort qu’ils supportent tous les deux. Cependant, un attaquant pourrait intercepter la communication et la forcer à être dégradée à un chiffrement DES de 40 bits ou 56 bits, ce qui rendrait les attaques par force brute contre le chiffrement réalisables. Mise à jour 21/02/2014 : Nous ne trouvons plus de preuves de support de chiffre export.

*Support des Chiffres de Chiffrement Null SSL Activé Cela devient pire. WhatsApp prend même en charge les Chiffres Null, qui sont des données censées être chiffrées, mais qui en réalité ne le sont pas. Les Chiffres Null ne réalisent aucun chiffrement. C’est-à-dire qu’ils copient simplement le flux d’entrée au flux de sortie sans aucune modification. Avec le support des Chiffres Null, si l’application mobile cliente tente de communiquer avec le serveur en utilisant SSL et que les deux parties ne supportent pas de suites de chiffrement communes — à la suite d’une interception malveillante — alors cela reviendrait à envoyer les données en clair, en texte brut. Le support des Chiffres Null n’est pas quelque chose que nous rencontrons souvent — c’est assez rare. Mise à jour 21/02/2014 : Nous ne trouvons plus de preuves de support de chiffre null.*

*Support du Protocole SSLv2 Activé WhatsApp a également été trouvé en train de supporter la version 2 (v2) de SSL, qui a été trouvée pour contenir plusieurs faiblesses. SSLv2 est vulnérable à plusieurs attaques spécifiques qui nécessitent de l’écoute et des attaques de type homme du milieu. De plus, SSLv2 utilise MAC post-chiffrement et des MAC de 40 bits, qui sont tous deux considérés comme des faiblesses de conception. En fonction du temps et des ressources d’un attaquant, toute communication protégée par SSLv2 peut être vulnérable à des attaques de type homme du milieu qui pourraient permettre la falsification ou la divulgation de données. Mise à jour 21/02/2014 : Nous ne trouvons plus de preuves de support de SSLv2.*

*Praetorian a déclaré que les cas de test de sécurité entrepris dans le Project Neptune étaient non intrusifs et limités dans leur portée et ont pu donner des résultats étonnants. Il espère obtenir l’autorisation de Facebook et WhatsApp pour réaliser une évaluation à grande échelle et une évaluation de sécurité plus approfondie des applications mobiles et de l’infrastructure back-end.