— Permalink

— Permalink

Vous pensiez encore que WhatsApp était secure grâce au chiffrement de bout en bout ?

Pauvres fous ^^ !

En fait, des chercheurs de l’Université de Vienne viennent (!!) de démontrer qu’on peut vous espionner à distance via Whatsapp sans que vous receviez la moindre notif.

L’attaque s’appelle “Careless Whisper” (oui, comme la chanson de George Michael) et elle exploite un truc tout bête : les accusés de réception, ces petits checks bleus qui vous indiquent qu’un message a été délivré puis vu…

Ainsi, en envoyant des messages spécialement conçus pour l’occasion, notamment des réactions à des messages qui n’existent pas, un attaquant peut déclencher des accusés de réception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui apparaît, mais de l’autre côté, votre stalker psychopathe mesure le temps que met votre téléphone à répondre.

Et en analysant ces temps de réponse, on peut savoir si votre écran est allumé ou éteint, si WhatsApp est ouvert au premier plan, quel système d’exploitation vous utilisez, combien d’appareils sont connectés à votre compte, et même déduire vos horaires de sommeil. Tout sans que vous ayez le moindre indice qu’on vous surveille, évidemment !

La recherche, disponible ici , a d’ailleurs reçu le Best Paper Award à la conférence RAID 2025. Les chercheurs ont testé sur WhatsApp et Signal, et les deux sont vulnérables. Mais sur WhatsApp, c’est le pire, car l’application autorise des payloads de réaction jusqu’à 1 Mo, ce qui permet de générer 13 Go de trafic par heure sur le téléphone de la victime, donc ça permet même de vider tranquillement sa batterie de 15 à 18% par heure sans qu’elle ne s’en rende compte.

Un développeur a même créé un outil open source pour tester la faille de manière responsable et en respectant la loi évidemment. Si vous voulez tester, faites-le uniquement sur votre matériel. L’interface de ce PoC permet de traquer en temps réel l’activité d’un numéro de téléphone. En dessous d’un certain seuil sur le délai de réponse, la personne est active, et au-dessus, elle dort ou son téléphone est en veille.

Les chercheurs ont bien sûr signalé la faille à Meta en septembre 2024, qui a “accusé réception” (lol), mais aucune correction n’a été apportée depuis. Et chez Signal ils n’ont pas répondu du tout.

Alors comment on fait pour se protéger de ça ? Et bien dans Whatsapp, il y’a une option qui se trouve dans Paramètres → Confidentialité et autoriser seulement “Mes Contacts” à voir ce qu’on partage, ce qui permet de limiter les accusés de réception à vos contacts uniquement. Ça ne règle pas tout, mais ça complique la tâche des inconnus qui voudraient vous traquer.

Voilà, une fois encore, même sur les apps avec du chiffrement de bout en bout qui protège le contenu des messages, ça ne fait pas tout, car il y a toujours des métadonnées qui peuvent être exploitées de manière frauduleuse, donc soyez vigilant :)

Article simple (bon 13ans pas sûr qu'elle comprenne tout...) sur la différence Whatsapp / Signal
(Permalink)

Article simple (bon 13ans pas sûr qu'elle comprenne tout...) sur la différence Whatsapp / Signal
(Permalink)

Une grosse lacune de Signal sur iPhone c’est qu’il était impossible de sauvegarder proprement son historique de messages. Par exemple, si vous changiez de téléphone ou si vous deviez réinstaller l’app, pouf, tout disparaissait.

Hé bien maintenant c’est terminé puisqu’ils viennent de lancer les Secure Backups sur iOS avec la version 7.86.

Techniquement, rien de magique, c’est simplement une sauvegarde chiffrée de bout en bout de tous vos messages et médias, protégée par une clé de récupération de 64 caractères générée localement. Et comme cette clé n’est jamais partagée avec les serveurs de Signal, cela veut dire que personne (même pas Signal) ne peut lire ou restaurer vos données sans elle. Les fichiers médias sont même chiffrés deux fois et modifiés pour masquer leur taille. Bref, du costaud niveau sécu.

Maintenant côté pratique, y’a deux formules. La version gratuite vous permet de stocker jusqu’à 100 Mo de messages texte, plus les photos, vidéos et fichiers des 45 derniers jours. Et si ça vous suffit pas parce que vous êtes un salop de riche ^^, y’a une offre payante à 1,99$/mois qui débloque le stockage de tout votre historique de messages plus jusqu’à 100 Go de médias sans la limite des 45 jours.

C’est d’ailleurs la première fois que Signal propose un truc payant donc ça va encore whiner chez les radins, mais l’idée c’est de couvrir les coûts de stockage des gros fichiers médias sans passer par la pub ou la revente de données. Bref, c’est cohérent.

Maintenant, pour activer tout ça, c’est hyper simple ! Vous allez dans Réglages > Sauvegardes > Configurer > Activer les sauvegardes. Et voilà… L’app génèrera votre clé de récupération, vous choisissez votre formule, et c’est parti mon kiki.

Signal avait déjà lancé cette fonctionnalité sur Android en septembre dernier et pour la suite, ils prévoient d’étendre les sauvegardes sécurisées à l’application desktop et de permettre le transfert d’historique chiffré entre Android, iOS et desktop. Cool non ?

Bref, si vous utilisez Signal sur iPhone, mettez à jour et activez les sauvegardes parce que perdre des années de conversations et tous les contacts de votre cartel pour un changement de téléphone, c’est vraiment pas cool ^^.

Source

Vous vous souvenez de Chat Control ? Ce projet de règlement européen qui voulait scanner tous vos messages privés pour détecter des contenus pédocriminels ? J’en avais parlé à l’époque et je m’étais bien énervé dessus. Hé bien après plus de 3 ans de négociations, de votes ratés, de blocages par l’Allemagne , les Pays-Bas et l’Autriche… le Conseil de l’UE a enfin trouvé un accord.

Et devinez quoi ? Bah c’est du vent.

Le grand compromis trouvé ce 26 novembre c’est donc de rendre le scanning… (roulements de tambours)… volontaire ! Oui, oui, volontaire. Ainsi, au lieu d’obliger toutes les messageries à scanner vos conversations, on leur demande gentiment si elles veulent bien le faire et en parallèle, on prolonge indéfiniment l’exemption qui permet déjà aux plateformes de scanner volontairement sans violer les lois européennes sur la vie privée. Je rappelle quand même que exemption devait expirer en avril 2026… Hé bien là, elle devient permanente.

Alors oui, techniquement c’est moins pire que le projet initial, mais quand même 3 ans de réunions à se tripoter la nouille, à payer des salaires, à faire des notes de frais, à bailler aux corneilles et j’en passe, pour nous pondre un magnifique “Bon ben finalement on change rien, les entreprises font ce qu’elles veulent”, je trouve ça magistral !

Et le pire c’est que même ce compromis light fait tiquer les experts en vie privée car quelques jours avant l’accord, un groupe de scientifiques a envoyé une lettre ouverte prévenant que le texte “présente toujours des risques élevés pour la société” sans bénéfices clairs pour les enfants. Les associations de défense des droits numériques dénoncent en fait une ruse politique car le texte mentionne que seront bonnes “toutes les mesures appropriées d’atténuation des risques” ce qui est une formulation suffisamment vague pour permettre aux gouvernements de dire plus tard que le scanning est essentiel pour la sécurité.

D’ailleurs Signal avait prévenu que si le scanning devenait obligatoire, ils quitteraient le marché européen plutôt que de compromettre le chiffrement de leurs utilisateurs. Bon au final c’est pas arrivé, mais ça donne une idée de l’ambiance.

Voilà, maintenant le Conseil va négocier avec le Parlement européen et les trilogues (les négociations finales) sont prévus début 2026, donc on n’a pas fini d’en entendre parler.

Et voilà comment se passent 3 ans de cirque bureaucratique pour revenir au point de départ ^^.

Source

— Permalink

— Permalink

Signal repose en partie sur AWS… et cela en a surpris beaucoup.

Meredith Whittaker le constate et s’en étonne. La présidente de la Fondation Signal s’en inquiète même : et si la concentration du pouvoir dans les mains de quelques hyperscalers était moins perçue qu’elle ne le pensait ?

Que la panne AWS soit « une leçon »

« Pourquoi Signal utilise-t-il AWS ? » n’est pas la question, poursuit l’intéressée. Il faut mesurer ce que toute plate-forme globale de communication en temps réel exige en matière d’infrastructure. La voix et la vidéo, en particulier, requièrent une architecture complexe pour gérer gigue et perte de paquets. Ces choses-là, AWS, Azure et GCP les fournissent à grande échelle. Pas les autres, tout du moins dans un contexte occidental.

Une telle infrastructure coûte des milliards à provisionner et à maintenir, en plus d’être largement amortissable, fait remarquer Meredith Whittaker. C’est pourquoi « presque tous ceux qui gèrent un service temps réel » (elle mentionne Mastodon, X et Palantir) s’appuient au moins en partie sur ces sociétés.

« Même si on avait les milliards pour, ce n’est pas qu’une question d’argent« , ajoute-t-elle. L’expertise est rare. Et très concentrée. D’ailleurs, l’outillage, les playbooks et le langage même du SRE moderne émanent des hyperscalers.

Dans la pratique, 3 ou 4 acteurs ont la main sur l’entièreté de la stack, résume M. Whittaker. Dans ces conditions, Signal « fait au possible » pour garantir une intégrité dans l’écosystème où il se trouve, grâce à du chiffrement de bout en bout.

La panne AWS, sera espère-t-elle, une leçon ; une mise en lumière des risques que suppose la « concentration du système nerveux de notre monde dans les mains de quelques acteurs ».

Signal sur AWS : une publicité limitée

Jusque-là, Signal n’avait pas fait grande publicité de son utilisation d’AWS.

On en trouve quelques traces sur son GitHub. Entre autres dans un ticket ouvert début 2021.

Dans une période d’exode marqué vers Signal, un utilisateur qui cherchait à migrer depuis WhatsApp s’était plaint d’un bug avec les liens servant à rejoindre un groupe.

« N’est-ce pas possible de monter en charge ?« , avait demandé un autre utilisateur, croyant savoir que Signal utilisait AWS. Un des contributeurs au projet le lui avait confirmé.

CloudFront, utilisé pendant un temps pour contourner la censure

AWS est aussi apparu à quelques reprises sur le blog de Signal. Notamment en 2018, dans le cadre d’une mise au point sur le domain fronting.

Cette technique, fonctionnant au niveau de la couche application, est traditionnellement utilisée pour contourner la censure. Elle permet de se connecter par HTTPS à un service interdit, tout en paraissant communiquer avec un site différent.

Pour la mettre en œuvre, Signal s’est, pendant un temps, appuyé sur Google App Engine, profitant du fait que couche de terminaison TLS était séparée de celle traitant les requêtes. Il l’a appliqué en Égypte, à Oman, au Qatar et aux Émirats arabes unis. Pour continuer à bloquer Signal, ces pays auraient dû bloquer google.com. Un pas qu’ils n’ont pas franchi.

La situation fut différente pour l’Iran. En application des sanctions américaines, Google n’autorisait pas le traitement, dans App Engine, de requêtes issues de ce pays. Mis sous pression pour lever cette interdiction, il avait, au contraire, fermé la porte au domain fronting au niveau mondial.

Signal s’était alors rabattu sur CloudFront, qui hébergeait quelques-uns des domaines les plus populaires (top 100 Alexa) dans les régions en question. Le projet étant open source, Amazon avait fini par avoir vent de la bascule… et avait rapidement fermé lui aussi les vannes du domain fronting.

Illustration générée par IA

The post « Oui, nous utilisons AWS » : Signal poussé à justifier son choix appeared first on Silicon.fr.

Chat Control resurfaces in Europe. Behind the fight against abuse lies a major risk for encryption and privacy....