La fonction « Vue unique », inaugurée par WhatsApp en 2021, ajoute une couche supplémentaire de confidentialité en permettant l’envoi de médias (photos et vidéos) ne pouvant être vus qu’une seule fois avant de disparaître. Cette protection est réservée aux utilisateurs des applications mobiles sur Android et iOS. Lorsqu’un utilisateur tente d’ouvrir un média « Vue unique » sur la version web de la messagerie ou dans l’application de bureau, un avertissement stipule que ce type de contenu ne peut être ouvert que sur un téléphone.
Un faux sentiment de sécurité
Tal Be’ery, chercheur en sécurité et cofondateur de la société Zengo, a découvert une faille dans cette fonctionnalité sur la version web de WhatsApp. Selon lui, il est possible pour un utilisateur malveillant de contourner la suppression automatique des fichiers, de les visionner, puis de les sauvegarder, alors que ces médias auraient dû disparaître après leur ouverture. Dans une démonstration réalisée pour TechCrunch, le chercheur a réussi à enregistrer une photo « Vue unique » en utilisant WhatsApp sur le web.
Alerté le 26 août dernier via son programme officiel de récompense de bogues, Meta, la maison-mère de WhatsApp, a rapidement réagi. Un porte-parole de l’entreprise a déclaré à TechCrunch que des mises à jour étaient en cours de déploiement pour corriger la faille sur la web app. « Nous encourageons toujours les utilisateurs à n’envoyer des messages “Vue Unique” qu’à des personnes en qui ils ont confiance », a-t-il ajouté.
Meta n’a cependant pas fourni de date précise pour la résolution complète de ce problème. Cette faille avait déjà été exploitée par des extensions de navigateurs bien avant que Tal Be’ery ne la découvre. Des discussions sur les réseaux sociaux montrent que de nombreux utilisateurs partageaient déjà des méthodes pour contourner la protection « Vue unique » avec ces fameuses extensions ou des logiciels tiers. Voilà qui pose des questions bien dérangeantes sur la solidité de cette fonctionnalité et sur l’engagement de WhatsApp et de Meta en matière de protection des données privées…
Tal Be’ery ne manque pas de critiquer WhatsApp, il qualifie la fonctionnalité « Vue unique » de « fausse promesse de confidentialité ». Dans un billet de blog publié sur le site de Zengo, il explique : « Le seul élément pire que l’absence de confidentialité, c’est l’illusion d’en avoir. WhatsApp induit ses utilisateurs en erreur en leur faisant croire que certains types de communication sont privés, alors qu’ils ne le sont pas. » Il recommande soit de renforcer considérablement cette fonctionnalité, soit de l’abandonner complètement.
Le chercheur propose une série de solutions. Il suggère par exemple d’implémenter un système de gestion des droits numériques (DRM) ou de restreindre l’utilisation des médias « Vue unique » aux seuls appareils mobiles. Ces solutions permettraient de limiter les abus sur les plateformes moins sécurisées, comme les applications web et de bureau.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.