Failles de sécurité des receipts de livraison dans les applications de messagerie : l'attaque 'Careless Whisper' menace des milliards d'utilisateurs
Églantine Montclair
Selon une étude récente, une faille de sécurité critique affecte potentiellement plus de 3 milliards d’utilisateurs WhatsApp et Signal dans le monde entier. Les chercheurs ont découvert que les pirates informatiques peuvent exploiter les receipts de livraison pour surveiller discrètement l’activité des utilisateurs, traquer leurs routines quotidiennes et drainer leur batterie, le tout sans laisser la moindre trace visible. Cette vulnérabilité, baptisée “Careless Whisper”, représente l’une des menaces les plus insidieuses jamais identifiées dans les applications de messagerie populaires, car elle exploite une fonctionnalité pourtant fondamentale du service de communication.
Comment les attaques “Careless Whisper” exploitent vos données
L’attaque “Careless Whisper” repose sur l’exploitation d’une fonctionnalité conçue pour être bénéfique : les receipts de livraison. Ces notifications confirment simplement qu’un message a bien atteint son destinataire. Cependant, les chercheurs ont découvert que des acteurs malveillants pouvaient transformer cette fonctionnalité en outil de surveillance de masse. Dans la pratique, les attaquants envoient des messages spéciaux qui déclenchent des receipts de livraison silencieux, sans aucune notification visible sur l’appareil de la victime, permettant ainsi une surveillance continue sans détection.
« La nature même de cette faille rend la défense extrêmement difficile, car elle exploite une fonctionnalité que la plupart des utilisateurs considèrent comme inoffensive et même nécessaire », explique un expert en cybersécurité consulté pour cette enquête.
Sur WhatsApp et Signal, les utilisateurs peuvent réagir aux messages avec des émojis ou éditer des messages, des actions qui génèrent des receipts de livraison sans avertir les cibles. En envoyant ces messages invisibles de manière répétée, les attaquants analysent les temps de réponse pour extraire des informations sensibles.
Le mécanisme technique de l’attaque
L’ingéniosité de cette attaque réside dans sa simplicité apparente combinée à sa puissance de collecte de données. Contrairement à de nombreuses cybermenaces qui nécessitent des logiciels malveillants complexes ou des interactions avec la victime, “Careless Whisper” n’exige qu’un numéro de téléphone, sans nécessiter d’accès à la liste de contacts ou à des conversations existantes. Cela signifie qu’un nombre quasi illimité d’utilisateurs WhatsApp – soit environ 3 milliards de personnes à travers le monde – pourrait devenir des cibles potentielles.
La première mention technique : les “receipts de livraison” (ou accusés de réception) sont des fonctionnalités qui permettent à l’expéditeur de savoir si son message a bien été délivré au destinataire, sans nécessairement indiquer si ce dernier l’a lu.
Les méthodes d’extraction d’informations par les attaquants
L’attaque “Careless Whisper” n’est pas limitée à une simple surveillance ; elle permet une collecte d’informations détaillées et précises sur les victimes. Les chercheurs ont identifié plusieurs types de données sensibles que les attaquants peuvent extraire de manière discrète.
Surveillance des appareils et activité
La surveillance des appareils révèle chaque appareil qu’une personne utilise et quand chaque appareil est actif ou hors ligne, exposant potentiellement les lieux de travail et les adresses personnelles. Les pirates peuvent ainsi créer une carte complète des lieux fréquentés par la victime, y compris ses heures de présence au bureau ou à domicile.
Suivi du temps d’écran
Le suivi du temps d’écran fonctionne en analysant les schémas de réponse pour déterminer si l’écran du téléphone est allumé ou éteint, cartographiant ainsi les horaires de sommeil et les routines quotidiennes avec une précision de niveau seconde. Cette donnée est particulièrement sensible, car elle révèle non seulement les habitudes de sommeil d’une personne, mais aussi ses moments d’activité professionnelle ou personnelle.
Identification des appareils et modèles
En analysant les différences de temps de réponse, les attaquants peuvent détecter si l’application de messagerie est ouverte et en cours d’utilisation, et identifier des modèles de téléphones spécifiques et des systèmes d’exploitation. Cette information peut être exploitée pour des attaques plus ciblées ultérieurement, en adaptant les vecteurs d’attaque au type exact d’appareil utilisé par la victime.
Tests pratiques et impact sur la batterie
Les chercheurs ont démontré de manière concrète l’impact de ces attaques. Ils ont prouvé que les attaquants peuvent drainer la batterie des iPhones de 14 à 18% par heure et générer d’importants volumes de données non désirées, totalement indétectables par l’utilisateur. Ces chiffres sont alarmants, car ils montrent que l’attaque n’est pas seulement intrusive sur le plan de la vie privée, mais qu’elle a également un impact tangible sur l’autonomie des appareils.
Implications concrètes pour les utilisateurs et personnalités publiques
Les implications de cette vulnérabilité vont bien au-delà de la simple violation de la vie privée. Les utilisateurs ont littéralement aucune protection contre cette attaque, car les receipts de livraison ne peuvent pas être désactivés dans les paramètres des deux applications. Les attaques génèrent aucune notification, ne nécessitent aucune relation préexistante avec les victimes et ne peuvent pas être efficacement bloquées.
Ciblage des personnalités publiques
Cette recherche impacte particulièrement les cibles à haut profil. Le personnel du Sénat américain, les fonctionnaires de la Commission européenne et le personnel du Département de la Défense comptent sur ces applications pour leurs communications sensibles. Étant donné que les numéros de téléphone de nombreux fonctionnaires gouvernementaux sont publics, ils sont particulièrement vulnérables à ce type d’attaque. Pour ces individus, la sécurité des communications n’est pas une question de confort, mais une nécessité absolue.
Cas concrets d’espionnage industriel
Dans un contexte français, des entreprises spécialisées dans la défense ou les technologies de pointe pourraient être ciblées par des acteurs étatiques ou des concurrents internationaux. Un exemple concernerait un ingénieur travaillant sur un projet sensible : un attaquant pourrait non seulement surveiller ses heures de travail et ses déplacements, mais aussi identifier le modèle exact de son téléphone professionnel, permettant une préparation plus fine d’une attaque ultérieure ciblant cet appareil spécifique.
Comparatif des applications affectées
| Application | Nombre d’utilisateurs | Possibilité de désactiver les receipts | Vulnerabilité confirmée |
|---|---|---|---|
| 2+ milliards | Non | Oui | |
| Signal | 40+ millions | Non | Oui |
| Telegram | 700+ millions | Oui | Non confirmée |
| Messenger | 1+ milliard | Partielle | Non confirmée |
Mesures de protection et recommandations pour les entreprises
Face à cette menace invisible, les utilisateurs et les entreprises doivent adopter des stratégies de protection proactives. Bien que la faille elle-même ne puisse être corrigée par les utilisateurs, plusieurs mesures peuvent atténuer les risques et limiter l’exposition aux attaques.
Recommandations pour les particuliers
- Restriction des communications : Limitez les interactions sur ces applications aux contacts de confiance uniquement. Évitez de partager votre numéro de téléphone publiquement.
- Surveillance de la batterie : Surveillez attentivement la consommation inhabituelle de la batterie de votre appareil, qui pourrait indiquer une activité de surveillance.
- Désactivation des notifications : Bien que les receipts ne puissent pas être désactivés, désactiver d’autres notifications peut rendre l’activité de l’application moins visible.
- Utilisation d’alternatives : Pour les communications sensibles, envisagez des applications alternatives qui permettent de désactiver les receipts de livraison comme Telegram.
Stratégies d’entreprise
« Les organisations doivent traiter cette vulnérabilité comme une menace critique pour la sécurité de leurs informations. La simple connaissance des habitudes d’un employé peut fournir un avantage concurrentiel déloyal à un acteur malveillant », déclare un consultant en cybersécurisme spécialisé dans les risques liés aux applications mobiles.
Pour les entreprises, les recommandations incluent :
- Éducation des employés : Sensibiliser le personnel aux risques de surveillance via les applications de messagerie et aux signes d’activité inhabituelle.
- Politiques de communication : Établir des politiques claires sur l’utilisation des applications de messagerie pour les communications professionnelles sensibles.
- Solutions de chiffrement de bout en bout : Pour les communications critiques, privilégier des solutions de chiffrement renforcé qui offrent une meilleure protection.
- Surveillance réseau : Mettre en place des systèmes de détection de trafic anormal qui pourrait indiquer une tentative d’exploitation de cette vulnérabilité.
L’état des réponses des développeurs et perspectives d’avenir
Selon les publications sur Arxiv, les chercheurs ont communiqué leurs conclusions à Meta (propriétaire de WhatsApp) et Signal en septembre 2024. Cependant, à ce jour, aucune réponse significative n’a été observée de la part de ces entreprises. La communauté de la sécurité urge les deux entreprises à restreindre les receipts de livraison aux contacts connus et à mettre en œuvre une limitation plus stricte des taux côté serveur.
Responsabilité des plateformes
Cette situation soulève des questions importantes sur la responsabilité des plateformes technologiques face aux vulnérabilités dans leurs produits. Les entreprises développent souvent des fonctionnalités sans évaluer pleinement leurs implications en matière de sécurité, laissant ensuite les utilisateurs à supporter les conséquences.
Néanmoins, la mise en œuvre d’une correction pourrait compromettre l’expérience utilisateur, car de nombreux comptent sur les receipts de livraison pour confirmer la bonne réception de messages importants. Les développeurs se retrouvent ainsi face à un dilemme complexe entre sécurité et fonctionnalité.
Tendances futures de la cybersécurité mobile
À mesure que les applications de messagerie continuent de gagner en popularité en tant que principale méthode de communication, nous pouvons nous attendre à voir une augmentation des attaques exploitant des fonctionnalités apparemment anodines. Les attaquants deviennent de plus en plus sophistiqués dans leur capacité à transformer des fonctionnalités standardisées en vecteurs d’attaque.
Les entreprises de technologie devront adopter une approche plus proactive de la sécurité, intégrant des évaluations de risque tout au long du cycle de vie de développement des fonctionnalités. Les utilisateurs, quant à eux, devront être de plus en plus vigilants et considérer que toute fonctionnalité collectant des données potentielles représente un risque potentiel.
Conclusion : urgence d’action collective
La faille “Careless Whisper” représente un rappel brutal de notre dépendance croissante aux applications de messagerie et des risques inhérents à cette connectivité. Jusqu’à ce que les développeurs mettent en place des correctifs adéquats, des milliards d’utilisateurs resteront exposés à cette menace invisible.
En tant que société, nous devons exiger une plus grande transparence et une responsabilité accrue de la part des entreprises technologiques. La sécurité des utilisateurs ne devrait jamais être une fonctionnalité optionnelle, mais une exigence fondamentale dans la conception de chaque produit numérique. La prochaine fois que vous verrez un accusé de réception apparaître, souvenez-vous que cette simple confirmation peut servir d’instrument de surveillance dans les mauvaises mains.
Une action immédiate est nécessaire : non seulement de la part des développeurs pour corriger cette vulnérabilité spécifique, mais aussi de la part des régulateurs pour établir des cadres plus stricts protégeant les utilisateurs de ces exploitations insidieuses. La sécurité numérique collective dépend de notre vigilance collective.