Les applications de messagerie instantanée populaires peuvent exposer l’emplacement de l’utilisateur, rapporte le groupe de défense de la confidentialité numérique RestorePrivacy. Une équipe de chercheurs a découvert que WhatsApp, Signal et Threema présentent une vulnérabilité qui peut être exploitée par des cybercriminels pour déterminer l’emplacement d’un utilisateur avec une précision de plus de 80 %.
Les notifications d’état de livraison peuvent indiquer votre position
Les personnes mal intentionnées peuvent mener ce qu’on appelle une attaque temporelle par laquelle un adversaire tente de déduire l’emplacement d’un utilisateur en mesurant le le temps qu’il faut pour que leur message soit livré. Ils s’appuient sur l’état de livraison des messages pour cette information essentielle.
Cela peut bien fonctionner, car les réseaux Internet et l’infrastructure du serveur d’applications de messagerie ont des caractéristiques physiques spécifiques qui conduisent à des voies de signal standard. Par conséquent, les notifications d’état de livraison ont des retards prévisibles en fonction de l’emplacement d’un utilisateur.
Un attaquant peut mesurer ces retards pour déterminer le pays, la ville ou le district d’un destinataire et peut même savoir s’il utilise le Wi-Fi ou Internet mobile.
Pour des emplacements plus précis, un attaquant peut effectuer cet exercice plusieurs fois et préparer un ensemble de données pour déterminer l’emplacement parmi un ensemble de différents endroits possibles tels que la maison, le bureau et la salle de sport de la victime.
Pour que cette attaque fonctionne, l’attaquant et la cible doivent se connaître et avoir déjà engagé une conversation.
WhatsApp est utilisé par 2 milliards de personnes dans le monde et bien Signal et Threema aient un plus petit base d’utilisateurs, avec respectivement 40 millions et 10 millions d’utilisateurs, ils se présentent comme des applications axées sur la confidentialité, sûres et sécurisées, de sorte que ces résultats sont plus alarmants pour les utilisateurs de ces deux applications.
En fait, Signal et Threema semblent plus sensibles à ces attaques dans le sens où l’attaque temporelle peut être utilisée pour déduire l’emplacement des utilisateurs de Signal avec une précision de 82 % et des utilisateurs de Threema avec une précision de 80 pourcent. Pour WhatsApp, ce chiffre s’élève à 74 % et bien que cela soit également inquiétant, nous nous serions attendus à ce que l’écart soit plus important.
Le rapport semble impliquer que les utilisateurs d’iOS et d’Android sont également vulnérables.
Comment déjouer l’attaque temporelle
Les chercheurs ont découvert que l’attaque ne fonctionnera probablement pas avec les appareils qui sont inactifs lorsqu’un message est reçu. Ils ont donc proposé aux développeurs d’afficher des délais de confirmation de livraison aléatoires aux expéditeurs. Si le minutage est décalé de 1 à 20 secondes, cela rendrait l’attaque de minutage inutile sans affecter l’utilité pratique des notifications de livraison.
Les utilisateurs soucieux de la confidentialité de leur emplacement peuvent essayer de désactiver la fonction de notification de livraison, si elle est prise en charge par l’application de leur choix. De plus, en supposant que l’application n’est pas configurée pour contourner un VPN (réseau privé virtuel), les utilisateurs peuvent utiliser un VPN pour augmenter la latence ou le délai.
RestorePrivacy a contacté le créateur des applications en question et a obtenu la réponse suivante de Threema :
Nous avons déjà envisagé différentes solutions de contournement et effectué divers tests, y compris ceux où le client retarde légèrement de manière aléatoire les notifications de livraison pour rendre ces types d’analyses temporelles inutiles. (Les mises à jour de l’application contenant cette amélioration devraient être bientôt disponibles.)
Veuillez noter, cependant, que l’exploitabilité pratique de ces analyses temporelles est discutable : les utilisateurs n’ont généralement pas leur application de messagerie ouverte en permanence, et les notifications push qui réveiller l’application en arrière-plan ajoute déjà un retard considérable pouvant aller jusqu’à plusieurs secondes.