Tel : +213 (0) 21 49 50 87 | +213 (0) 770 72 60 20 | Fax : +213 (0) 98 240 12 62 | E-mail : support@ayrade.com
Solutions Web ERP en mode SAAS Messagerie collaborative Serveurs dédiés, VPS Cloud computing Hébergement mutualisé
Menu
  • Hébergement web
      • Comparatif des plans
      • Nom de domaine .dz
      • Certificat SSL
      • Serveur dédié
      • Serveur VPS
      • Partenaire
    Close
  • ERP
      • Solutions ERP
      • Gestion des ventes et CRM
      • Gestion de comptabilité
      • Gestion commerciale
      • Gestion des ressources humaines
      • ERP en mode SAAS
    Close
  • Digital
      • Développement web
      • Développement d’applications mobiles
      • E-sms
      • E-mailing
      • SEO/Référencement
      • Community management
    Close
  • Solutions entreprise
      • Messagerie collaborative
      • Audit de sécurité web
      • E-learning
      • Gestion électronique des documents
      • Infogérance et surveillance
    Close
  • A propos
      • Contacter-nous
      • Notre offre de service
      • Charte et contrat client
      • Formulaire .dz
      • Méthode de paiement
        • A propos

          AYRADE est une société spécialisée en hébergement web professionnel en Algérie. Leader dans son domaine, elle propose aussi pour particuliers et entreprises la location de serveurs dédiés, l'enregistrement de noms de domaines et le développement de sites et applications web


          Lire la suite
    Close
    Espace client
    Ouvrir un ticket
Menu
  • Hébergement web
      • Comparatif des plans
      • Nom de domaine .dz
      • Certificat SSL
      • Serveur dédié
      • Serveur VPS
      • Partenaire
    Close
  • ERP
      • Solutions ERP
      • Gestion des ventes et CRM
      • Gestion de comptabilité
      • Gestion commerciale
      • Gestion des ressources humaines
      • ERP en mode SAAS
    Close
  • Digital
      • Développement web
      • Développement d’applications mobiles
      • E-sms
      • E-mailing
      • SEO/Référencement
      • Community management
    Close
  • Solutions entreprise
      • Messagerie collaborative
      • Audit de sécurité web
      • E-learning
      • Gestion électronique des documents
      • Infogérance et surveillance
    Close
  • A propos
      • Contacter-nous
      • Notre offre de service
      • Charte et contrat client
      • Formulaire .dz
      • Méthode de paiement
        • A propos

          AYRADE est une société spécialisée en hébergement web professionnel en Algérie. Leader dans son domaine, elle propose aussi pour particuliers et entreprises la location de serveurs dédiés, l'enregistrement de noms de domaines et le développement de sites et applications web


          Lire la suite
    Close
WhatsApp : des failles permettent d’espionner les discussions de groupe
  • Actualités

WhatsApp : des failles permettent d’espionner les discussions de groupe

Un attaquant capable d’infecter un serveur WhatsApp peut s’immiscer dans n’importe quel groupe et lire les échanges. Toutefois, il ne pourra pas dissimuler sa présence.

En adoptant par défaut le chiffrement de bout en bout en 2016, la messagerie instantanée WhatsApp a fait une énorme contribution pour la protection des données personnelles de ses utilisateurs. Toutefois, l’implémentation technique relative aux discussions de groupe n’est pas parfaite, comme viennent de le constater des chercheurs en sécurité de l’université allemande Ruhr-University Bochum. L’objectif du chiffrement de bout en bout est d’éliminer le risque provenant des serveurs de relais intermédiaires, qui pourraient être infectés par des pirates ou réquisitionnés sur demande gouvernementale.

Malheureusement, d’après l’étude des chercheurs, un attaquant capable d’infecter un serveur WhatsApp peut s’immiscer dans n’importe quelle discussion de groupe en raison d’un manque d’authentification. Quand l’administrateur d’un groupe ajoute quelqu’un dans la discussion, le serveur envoie un message de gestion à chaque membre qui, en retour, transmet sa clé de chiffrement au nouveau venu. Ce qui permet à ce dernier de déchiffrer les futurs messages de chaque membre.

Facebook minimise le risque

Le problème, c’est que les messages de gestion ne sont pas signés par l’administrateur. Un attaquant peut donc, au travers d’un serveur infecté, falsifier ces messages et ajouter n’importe qui à n’importe quel groupe et, à partir de là, espionner les échanges. « Ceci met à mal tout l’intérêt du chiffrement de bout en bout », estime le cryptographe Matthew Green, qui a commenté le travail des chercheurs dans une note de blog.

Côté Facebook, on ne met pas en doute cette découverte, mais on la minimise. Sur Twitter, le responsable sécurité du réseau social, Alex Stamos, souligne qu’il n’est pas possible d’espionner en douce les échanges. En effet, l’ajout d’un nouveau membre est automatiquement notifié à tous les membres de manière graphique. Moxie Marlinspike, le créateur du protocole de chiffrement Signal utilisé par WhatsApp, fait la même remarque. « Tous les membres de groupe vont voir qu’un attaquant vient de les rejoindre. Il est impossible de supprimer cette notification », écrit-il sur le forum Hacker News.

10 Janv
Alex Stamos

✔@alexstamos

En réponse à @alexstamos

Benefit of WhatsApp building off Signal’s open source protocol is constant scrutiny makes the security better for all.

Alex Stamos

✔@alexstamos

In sum, the clear notifications and multiple ways of checking who is in your group prevents silent eavesdropping. The content of messages sent in WhatsApp groups remain protected by end-to-end encryption.

20:09 – 10 janv. 2018
  • 23

  • Voir les autres Tweets de Alex Stamos

Informations sur les Publicités Twitter et confidentialité

A première vue, ce mécanisme de notification est imparable. Interrogés par Wired, les chercheurs font néanmoins remarquer qu’un attaquant qui a infecté un serveur WhatsApp peut également contrôler l’acheminement des messages. Il peut les bloquer ou simplement les différer. Un membre qui voudrait alerter les autres sur l’arrivée de cet espion pourrait donc ne pas être entendu. Bref, l’attaquant ne peut pas se cacher, mais il peut semer le trouble.

L’application Signal est également vulnérable

Ceux qui utilisent l’application Signal pour participer à des discussions de groupe chiffrées de bout en bout sont davantage en sécurité, mais pas totalement non plus. Dans cette messagerie instantanée, que les chercheurs ont également analysée, tous les membres ont le statut d’administrateur. Les messages de gestion qu’ils envoient lorsqu’ils ajoutent une personne sont signés et ne peuvent donc pas être falsifiés.

Le hic, c’est que l’application ne vérifie pas que la personne qui envoie le message de gestion fait bien partie du groupe ! Un attaquant pourrait donc ajouter n’importe qui à n’importe quel groupe, sans même avoir besoin d’accéder au serveur. Mais en pratique, cette attaque est difficile à mettre en oeuvre car il faut connaître l’identifiant du groupe, qui est un long chiffre aléatoire que seuls les membres d’un groupe peuvent connaître. Ce qui réduit donc considérablement le risque de compromission.

Quoiqu’il en soit, il ne faut pas jeter le bébé avec l’eau du bain. En dépit de ces failles, qui vont certainement être corrigées prochainement, WhatsApp et Signal font quand même partie des messageries instantanées les plus sécurisées. Dans l’application Telegram, par exemple, les discussions de groupe ne sont pas chiffrées de bout en bout, contrairement à ce que peuvent parfois penser ses utilisateurs.

Liens

  • Hébergement web en Algérie
  • Nom de domaine .dz
  • Serveur Dédié en Algérie [500 Mbps]
  • Devenir revendeur
  • Développement web
  • Solutions entreprise
Plans d'Hébergement

Clients

  • Commande rapide
  • Espace client
  • Annonces
  • Ticket: demande d’aide
  • Foire aux questions
  • Téléchargement
  • Base de connaissance
  • Monip

Support

Contactez-nous

Tél : +213 (0) 21 49 50 87
Tél : +213 (0) 770 72 60 20
Fax : +213 (0) 98 240 12 62
Mail : support@ayrade.com
Dimanche à Jeudi de 9h - 17h

A propos

  • Contacter-nous
  • Notre offre de service
  • Charte et contrat client
  • Formulaire .dz
  • Méthode de paiement