Publié le : 09 mars 20219 mins de lecture
Quelle est la fiabilité de WhatsApp ? Les messages que vous échangez chaque jour sur cette plateforme sont-ils sûrs ou quelqu’un pourrait-il les lire sans votre permission ? Vous avez raison de poser ces questions, car votre vie privée passe également par là. Si vous voulez une réponse rapide, oui, malheureusement, il existe des techniques d’espionnage sur WhatsApp. Le secret de vos données est loin d’être garanti et certaines études ont montré que les numéros de téléphone, les adresses IP et d’autres données relatives aux appels VoIP sont stockées sur les serveurs du service.
En tout cas, il ne faut pas être paranoïaque. Par rapport à il y a quelque temps, WhatsApp est beaucoup plus sûr, les messages sont cryptés grâce à une technologie très efficace (appelée TextSecure) et il est peu probable qu’une personne ayant un faible niveau de connaissances informatiques puisse « pirater » ses systèmes par elle-même. Certains doutes subsistent quant à la nature fermée de l’application (comme nous ne pouvons pas examiner complètement son code source, nous ne pouvons pas savoir si les messages sont correctement cryptés) et puis il y a les risques dérivés du manque de prudence des utilisateurs, mais ce n’est pas un problème qui concerne uniquement WhatsApp.
Juste une petite recommandation avant de commencer. Dans les paragraphes suivants, nous ferons référence à certaines techniques de piratage utilisées pour espionner WhatsApp depuis un PC. Toutefois, les informations contenues dans ce tutoriel ont été rédigées à titre d’illustration uniquement. Vous êtes responsable quant à l’usage que vous en faites. Veuillez ne pas l’utiliser pour essayer d’espionner d’autres personnes (même pas votre famille ou vos amis), car cela constituerait une grave violation de la vie privée et donc un délit punissable par la loi. Cela dit, bonne lecture !
Espionner WhasApp à partir d’un PC « reniflant » les réseaux sans fil
Comme mentionné dans l’introduction, WhatsApp utilise une technologie de cryptage de bout en bout (c’est-à-dire point à point) appelée TextSecure où les clés générées automatiquement par l’application assurent la confidentialité des conversations. Pour faire simple, les messages arrivent sur les smartphones et les serveurs de services des utilisateurs sous forme cryptés et seuls les expéditeurs/récepteurs légitimes peuvent voir leur contenu. Toutefois, cela ne met pas complètement hors jeu les cybercriminels.
Comme mentionné précédemment, WhatsApp est une application à code source fermé, vous ne pouvez donc pas examiner complètement son code source. Comme vous ne pouvez pas effectuer une telle opération, vous ne pouvez pas savoir si le cryptage de bout en bout est appliqué correctement ou si, par exemple, il est désactivé dans certains pays à la demande expresse des gouvernements locaux.
En avril 2015, les chercheurs de Heise ont utilisé le logiciel Wireshark pour « sniffer » les communications de WhatsApp et ont découvert que seule la version Android de l’application utilisait un cryptage de bout en bout. Les autres versions de l’application utilisent un cryptage basé sur la norme RC4, qui ne fonctionne qu’en mode sortant et est connu pour être vulnérable aux attaques cybercriminelles.
Suite à la publication de l’étude, les développeurs de TextSecure ont indiqué que l’adoption par WhatsApp du cryptage de bout en bout se ferait progressivement, donc pas sur toutes les plateformes à la fois mais un peu à la fois. Cela signifie que si les communications Android > Android étaient protégées à 100 % (du moins en apparence), celles à destination et en provenance d’iOS, de Windows 10 Mobile, etc. pouvaient encore être facilement interceptées.
Pour l’instant, le cryptage de bout en bout a été mis en œuvre sur toutes les plateformes pour lesquelles l’application de messagerie est disponible. Mais comme le code source de WhatsApp n’est pas accessible, nous ne pouvons pas savoir si l’utilisation de ce type de cryptage a été parfaitement appliquée et, par conséquent, nous ne pouvons pas être absolument sûrs qu’il est impossible d’intercepter les messages des utilisateurs avec Wireshark ou d’autres logiciels pour flairer les réseaux sans fil.
Les seules astuces que nous, les utilisateurs, pouvons mettre en pratique pour nous protéger sont de ne pas se connecter aux réseaux sans fil publics qui, comme vous le savez, sont le terrain de chasse favori des « renifleurs », et d’utiliser les services VPN, tels que NordVPN et Surfshark, qui cryptent toutes les données de connexion et cachent la position géographique de l’utilisateur, le protégeant ainsi de toute traque.
Espionner WhatsApp depuis un PC en utilisant WhatsApp Web
Le reniflage des réseaux sans fil a été potentiellement neutralisé par le cryptage de bout en bout mais, malheureusement, il existe d’autres moyens d’espionner WhatsApp depuis un PC. L’une d’entre elles concerne l’usurpation d’identité via WhatsApp Web, le service officiel de WhatsApp qui vous permet d’envoyer et de recevoir des messages depuis votre PC. C’est déjà abordé dans le tutoriel WhatsApp pour PC, vous vous souvenez ?
WhatsApp Web fonctionne en utilisant le smartphone comme un « pont », c’est-à-dire qu’il ne peut être utilisé que si le téléphone portable sur lequel l’application est installée est allumé et connecté à Internet. Toutefois, il possède deux caractéristiques qui le rendent particulièrement attrayant pour les utilisateurs malveillants. Il est capable de stocker l’identité de l’utilisateur (il suffit de cocher la case Rester connecté après la première connexion) et il fonctionne quelle que soit la connexion utilisée sur le téléphone portable (le téléphone peut être éloigné de l’ordinateur et le service est également accessible). Il faut cependant reconnaître que l’espionnage via WhatsApp Web est devenu (heureusement) beaucoup plus complexe, car le service envoie des notifications chaque fois que vous vous connectez.
Cependant, un agresseur pourrait potentiellement vous prendre votre smartphone, l’utiliser pour accéder à WhatsApp Web sur son ordinateur (ou tablette) et obtenir un accès gratuit à vos conversations. Pour éviter ce risque, ne prêtez pas votre téléphone à des inconnus, laissez votre appareil sans surveillance et vérifiez de temps en temps les sessions Web actives sur votre compte.
Si vous ne savez pas comment contrôler les sessions Web actives de WhatsApp, ouvrez WhatsApp et allez dans le menu Paramètres > WhatsApp Web/Desktop. Une liste de tous les navigateurs à partir desquels vous pouvez accéder à vos messages vous sera présentée, avec les derniers accès. Si vous remarquez une activité suspecte, appuyez sur le bouton Déconnecter de tous les ordinateurs / Déconnecter de tous les appareils et tous les ordinateurs associés à votre compte WhatsApp perdront l’accès.
Espionner WhatsApp depuis un PC avec des applications d’espionnage
Un autre danger contre lequel vous devez être sur vos gardes est celui des applications dites « espionnes », c’est-à-dire des applications capables de surveiller toutes les activités effectuées sur le smartphone, de localiser géographiquement l’appareil et de capturer des instantanés de son écran, comme le fameux iKeyMonitor dont on vous a parlé dans un autre post. Ces informations sont, ensuite, envoyées à distance aux attaquants et/ou peuvent être consultées via un panneau web dont les données d’accès ne sont connues que de ceux qui ont installé l’application sur le téléphone. À cette fin, les applications de contrôle parental (telles que Qustodio ou Mobile Fence) peuvent également être utilisées (de manière inappropriée).
Comment pouvez-vous empêcher quelqu’un d’installer des applications d’espionnage sur votre smartphone et de les utiliser pour contrôler vos conversations WhatsApp ? Pour commencer, ne prêtez pas votre smartphone à des personnes en qui vous n’avez pas confiance. Deuxièmement, ne déverrouillez pas votre appareil en utilisant des procédures telles que le root ou le jailbreak, car cela le rendrait particulièrement vulnérable. Autre chose importante, protégez votre appareil avec un code de déverrouillage sûr et difficile à deviner. Si vous ne savez pas comment définir un code de verrouillage, procédez comme suit.
Il est conseillé, également, de vérifier les applications installées sur l’appareil, pour vous assurer qu’il n’y en a pas de « suspectes ». Pour ce faire, allez dans Réglages > Applications > Toutes (sur Android) ou Réglages > Général > Espace libre iPhone (sur iPhone) et vérifiez quelles applications sont installées.
Il faut toutefois reconnaître que de nombreuses applications d’espionnage sont capables de se cacher et ne sont pas affichées dans les menus des appareils et que pour les trouver, il faut utiliser des codes spéciaux (comme expliqué dans le guide sur la manière de trouver les applications d’espionnage).
Si vos « enquêtes » montrent que quelqu’un surveille réellement vos activités, vous devez formater votre appareil et de supprimer toutes les données qu’il contient, comme expliqué dans les guides sur la réinitialisation d’Android et de l’iPhone.
