Un employeur peut-il accéder aux messages Whatsapp si vous utilisez ses serveurs?
Est-ce que quelqu'un sait si un employeur peut accéder aux messages Whatsapp si vous utilisez ses serveurs? Whatsapp dit apparemment que les messages sont cryptés, mais je n'en suis pas sûr.
Le document de recherche suivant décrit quatre attaques contre WhatsApp. Je ne sais pas s'ils ont été corrigés.
- Devinez qui vous envoie des SMS? Évaluation de la sécurité des applications de messagerie pour smartphone .
Sebastian Schrittwieser, Peter Fruhwirt, Peter Kieseberg, Manuel Leithner, Martin Mulazzani, Markus Huber, Edgar Weippl. NDSS 2012.
Attaque d'usurpation d'identité Une attaque permet à un attaquant d'usurper l'identité d'une autre personne. En particulier, si l'attaquant a un numéro de téléphone en tête (le numéro de téléphone de la victime), l'attaquant peut s'enregistrer pour ce numéro de téléphone et recevoir tous les messages WhatsApp qui auraient pu être destinés à ce numéro de téléphone. Voir la section 5.2 du document.
Cela peut vous concerner.
Attaque de spam par SMS. Une deuxième attaque permet à un attaquant d'envoyer gratuitement des messages texte arbitraires à n'importe qui dans le monde depuis les serveurs WhatsApp. Voir la section 5.4 du document.
Attaque d'énumération de numéros de téléphone. Une troisième attaque permet à un attaquant d'énumérer les numéros de téléphone d'autres utilisateurs de WhatsApp et d'identifier le système d'exploitation qu'ils utilisent. Voir la section 5.5 du document.
Attaque de contrefaçon de message d'état. Une quatrième attaque permet à un attaquant de changer le message d'état de tout autre utilisateur de WhatsApp en n'importe quel choix de l'attaquant. Voir la section 5.6 du document.
Implications. Aucune de ces réponses ne répond directement à la question particulière que vous avez posée. Cependant, ces vulnérabilités diminuent ma confiance dans la sécurité de WhatsApp.
Les vulnérabilités décrites dans l'article sont des failles extrêmement basiques et élémentaires. Nous parlons de territoire facepalm. Les défauts comprennent, par exemple, un manque total de contrôle d'accès ou d'authentification; ainsi qu'une confiance inappropriée dans le client. (Fondamentalement, les violations OWASP A3, A8 et A9.) Bien sûr, tout le monde peut faire des erreurs, mais ce sont des erreurs si fondamentales qu'elles me font me demander ce autre erreurs que les développeurs de WhatsApp ont pu commettre , et quel est le problème avec le processus d'examen de la sécurité de WhatsApp que ceux-ci se sont glissés dans le déploiement.
Donc, sur la base de cette analyse, je serais réticent à trop compter sur la sécurité de WhatsApp.
Cet article considère que le cryptage de Whatsapp est trop faible et que la gestion des problèmes de sécurité par l'entreprise fait défaut:
Cet article explique que l'authentification de l'expéditeur est désormais plus robuste, mais les problèmes de confidentialité persistent:
http://countermeasures.trendmicro.eu/whatsapp-in-violation-of-privacy-law/
WhatsApp est un système de messagerie assez populaire selon les médias:
WhatsApp gère dix milliards de messages par jour en août 2012
Financial Times : WhatsApp "a fait pour SMS sur les téléphones mobiles ce que Skype a fait aux appels internationaux sur les lignes fixes).
Il prend en charge le cryptage et bien qu'ayant un certain nombre de incidents de sécurité , je m'attends à ce que la sécurité soit élevée et que les incidents similaires à ceux ci-dessus soient transitoires et gérés par l'entreprise.
Il existe un cas particulier où vos messages peuvent être à risque. C'est le cas si votre téléphone ou ordinateur sur lequel vous utilisez WhatsApp est administré par votre employeur . Donc, si vous avez un smartphone fourni par votre employeur, vos messages peuvent être interceptés.
En conclusion, je pense que la confidentialité des messages de Whatsapp est digne de confiance. Vous devriez vous soucier davantage de la sécurité de votre téléphone. Android ne sont en particulier pas tenus à jour avec les correctifs.
Faites le test suivant sur votre appareil mobile et au moins vous pouvez être sûr que votre appareil ne peut pas être surveillé comme ça.
- allez sur https://www.google.com
- Cliquez sur le verrou https dans le navigateur
Si délivré à est Google Internet Authority G2 alors https est non pénétré ou MITMA (Man In The Middle Attack) employé. S'il existe un autre nom comme le nom de votre entreprise, il est possible qu'ils puissent pénétrer le trafic https.