Abby Fuller, experte technique senior chez Amazon, a eu un choc en se connectant à WhatsApp avec un nouveau numéro de téléphone ce mois-ci. Elle a trouvé les messages WhatsApp d’un autre utilisateur qui l’attendaient !
logged into whatsapp with a new phone number today and the message history from the previous number’s owner was right there?! this doesn’t seem right.
— Abby Fuller (@abbyfuller) 11 janvier 2019
WhatsApp, que Facebook a acheté pour 19 milliards de dollars (environ 17 milliards d’euros) en 2014, se présente comme une application de messagerie sécurisée et fiable.
Ce service déclare fièrement ne pas conserver les messages sur ses serveurs une fois qu’ils ont été envoyés. Fuller utilisait un nouveau numéro de téléphone sur un nouvel appareil mobile. Sa carte SIM était neuve et elle n’avait restauré aucun message sauvegardé à partir d’un quelconque endroit. Alors qu’est-ce qui s’est passé ? Comment les messages WhatsApp à destination de quelqu’un d’autre se sont-ils retrouvés sur son téléphone ?
WhatsApp associe les comptes utilisateur aux numéros de téléphone. Le problème est que les gens ne gardent pas toujours leurs numéros de téléphone à vie. Lorsque quelqu’un cesse d’utiliser un numéro, en mettant fin à son contrat de smartphone par exemple, il se retrouve dans la catégorie des numéros disponibles et, selon les règles de la FCC, il ne peut être réaffecté à une autre personne avant 90 jours.
WhatsApp en est conscient et prévient :
Avant de cesser d’utiliser un numéro de téléphone particulier, vous devez migrer votre compte WhatsApp vers le nouveau numéro.
Il propose même une fonctionnalité pour changer le numéro de téléphone afin d’aider les utilisateurs à passer d’un compte à un autre.
L’ancien propriétaire du numéro ne l’a peut-être pas fait, mais si c’était effectivement le cas, l’entreprise disposait tout de même d’un système de sécurité intégrée. Elle surveille l’inactivité des comptes et surveille ceux inutilisés pendant 30 jours. Si quelqu’un active ensuite un compte avec ce numéro sur un autre appareil mobile, WhatsApp supprime toutes les anciennes données de compte liées à ce numéro de téléphone, y compris la photo de profil et la section “À propos”, indique-t-il.
Pourtant, Fuller a eu son numéro plus longtemps que le délai mentionné ci-dessus :
This number has been mine > 45 days (multiple month). Seems like the messages should have been wiped with the account but weren’t (or were resent). Either way, account should have been wiped and was not. https://t.co/XmG1P1zPO2
— Abby Fuller (@abbyfuller) 11 janvier 2019
Une explication potentielle est que WhatsApp se base non seulement sur le propriétaire initial du numéro qui modifie son compte, mais également sur tous ses amis qui mettent à niveau leur compte. Il prévient que :
Chaque fois qu’un ami abandonne un numéro de téléphone, vous devez vous assurer de le supprimer du carnet d’adresses de votre téléphone. Comme il s’agit d’une pratique courante chez tous les opérateurs de téléphonie mobile en matière de recyclage de numéros, vous pouvez très bien identifier de manière incorrecte un compte dans WhatsApp en tant que compte de votre ami, alors que ce compte appartient au propriétaire du nouveau numéro de téléphone.
WhatsApp utilise exclusivement des numéros de téléphone pour identifier les comptes et nous affichons les noms que vous avez enregistrés dans votre carnet d’adresses pour ces contacts.
Au moins un utilisateur de Twitter a suggéré que cela pourrait être la cause première :
The only explanation I can think of here is that they were sent *after* the previous owner stopped using it. They stayed with one tick, and got resent when you registered. So it’s not going to happen with any of your messages that you actually received.
— Filippo Valsorda (@FiloSottile) 11 janvier 2019
Depuis 2016, WhatsApp utilise le chiffrement de bout en bout, mais il utilise des clés de chiffrement différentes pour chaque discussion. Cela explique pourquoi les messages WhatsApp destinés au précédent propriétaire du numéro étaient affichés en clair sur l’appareil de Fuller.
Fuller a fourni des explications à partir de Twitterverse concernant ce qui s’est passé au cours de la semaine, mais comme elle le fait remarquer, c’est tout de même le travail de WhatsApp de s’assurer que cela ne se produise pas :
Le problème est que ce n’est pas (ou ne devrait pas être) une situation normale. Personne ne devrait jamais recevoir les messages WhatsApp de quelqu’un d’autre.
Effrayée par toute cette affaire, elle a rapidement supprimé les messages, mais des commentaires sur ses Tweets ont suggéré qu’il ne s’agissait pas d’un événement isolé. Plusieurs utilisateurs ont signalé des problèmes similaires avec WhatsApp :
For the past 1.5 years I’ve been getting messages to a previous number holder and often get added to chat groups by their friends and family.
Oh, the havoc I could wreak…
— ⚜️ Dave Hogue ⚜️ (@DaveHogue) 11 janvier 2019
This happened to me!! Got put straight back into someones family group chat and friends chats!! Kept receiving messages so messaged one of the people on the group chat and apparently the person hadn’t used the number in ages. Had to change my number the day after I got my phone
— Chloemurphy (@chloomurphy) 15 janvier 2019
I hate with whatsapp that the number is the id. My little girls sent a happy birthday video to their cousin via whatsapp. But he had cancelled his number and stopped using whatsapp. I only realised later they sent the video to a random man who now had his number :(
— Ivar Abrahamsen (@flurdy) 11 janvier 2019
Scarier was that in whatsapp the thread has all the older messages, still listed under my nephew’s name as I guess it used the phone’s contacts, except that the photo had changed to some 20 year oldish wannabe gangster. I just thought my 12 year old nephew was trying to be cool
— Ivar Abrahamsen (@flurdy) 11 janvier 2019
Nous ne saurons peut-être jamais ce qui s’est réellement passé avec ces messages WhatsApp errants, mais il est tout à fait possible qu’il n’y ait pas de moyen facile de résoudre le problème. La faille réside probablement dans le principe de conception qui lie l’identité d’une personne à une donnée éphémère, comme un numéro de téléphone par exemple. En 2019, il devrait sûrement exister un meilleur moyen de créer des identités durables et inattaquables pour les utilisateurs.
Billet inspiré de Are you sure those WhatsApp messages are meant for you?, sur Sophos nakedsecurity.