Récemment, un projet de recherche en cybersécurité de l’université de Vienne a été publié et a fait grand bruit. Il démontre qu’il est relativement facile, pour des personnes malintentionnées, de surveiller l’activité de n’importe quel utilisateur/utilisatrice de la messagerie WhatsApp. Il devient ainsi possible de savoir quand une personne utilise son smartphone et d’en déduire, par exemple, ses habitudes quotidiennes : heures de sommeil, périodes de déplacement, disponibilité, ou encore si le téléphone est allumé ou en veille.
Le plus inquiétant, c’est que ce tracking en temps réel peut être effectué sans que la personne ne s’en rende compte et sans que son téléphone n’ait été piraté : aucune interaction avec la victime n’est nécessaire. J’ai testé l’outil publié par les chercheurs et qui est assez rudimentaire et heureusement ne présente que quelques fonctionnalités basiques. Mais il permet de se rendre compte très vite du risque évident d’atteinte à la vie privée s’il tombait des mains malveillantes.
Là tu vas me dire, « je comprends pas pourtant Whatsapp est sécurisé et fait du chiffrement de bout en bout? Personne ne peut lire mes messages À part la personne à qui je les envoie, non ?«
Et c’est vrai. Le chiffrement protège bien le contenu des messages. En revanche, pour fonctionner, WhatsApp doit vérifier si ton téléphone est joignable et quand il peut recevoir un message. Ces échanges invisibles peuvent révéler des informations sur l’activité du téléphone. C’est sur ce fonctionnement « normal » que repose cette technique de surveillance.
Comment ça fonctionne ?
Quand un message est envoyé, WhatsApp génère des accusés réception.
En envoyant des requêtes spécifiques et en mesurant le temps que met l’accusé à revenir (round-trip time ou RTT), un attaquant peut déduire l’état du téléphone de la cible (par exemple : écran allumé, en veille, connecté ou non). Ce timing varie selon l’état de l’appareil ou du réseau
En pratique ?
J’installe l’outil disponible en accès libre sur github et développé par les chercheurs pour le POC.Les résultats sont plutôt EFFRAYANTS . Suffit juste de renseigner dans l’outil de tracking le numéro de téléphone de la cible et il va générer automatiquement des faux messages:
Ces messages :
- ne s’affichent pas dans la conversation de la victime,
- ne déclenchent pas de notification,
- mais provoquent malgré tout une réponse du serveur ou du client.
Un temps de réponse très court indique généralement que le téléphone est actif et connecté, tandis qu’un délai plus long peut révéler un appareil en veille, un écran éteint ou un changement de réseau. En répétant ces mesures dans le temps, il devient possible de reconstituer des schémas d’activité : périodes d’utilisation, heures de sommeil, ou moments de déplacement, ce qui donne ce type de résultats, testé avec la complicité d’un de mes potos.
L’outil est volontairement rudimentaire mais quelqu’un qui sait coder peut l’améliorer facilement.
Donc en très schématisé , l’outil « ping » un numéro de téléphone sans que l’utilisateur ne le sache ou n’y ait consenti.
Ce qu’un attaquant peut apprendre et faire:
Selon les mesures et expériences réalisées dans l’étude, un attaquant peut :
- Suivre l’activité d’un utilisateur (savoir s’il est actif ou non).
- Identifier si l’écran est allumé ou éteint.
- Déterminer le nombre de dispositifs connectés au compte (par exemple smartphone + ordinateur).
- Déduire le système d’exploitation ou certains détails du matériel.
- Tracer des routines quotidiennes (comme les périodes de sommeil ou d’activité).
- Et même lancer des attaques pour épuiser les ressources (vider la batterie ou consommer des données).
Comment se protéger contre ce type de surveillance ?
ou plus exactement comment limiter la casse…
1 – Activer le blocage des comptes inconnus
- Activez l’option « Bloquer les messages de comptes inconnus » dans les paramètres de confidentialité de WhatsApp afin de réduire les risques liés à ce type de suivi.
⚠️ Attention : cette option ne suffit pas à elle seule et ne bloque pas totalement la technique.
2 – Protéger au maximum son numéro de téléphone
Dans ce type de scénario, le numéro de téléphone est la donnée clé.
Il est donc essentiel de :
- utiliser un numéro dédié lorsque c’est envisageable.
- éviter de le publier publiquement (réseaux sociaux, sites web),
- le partager le moins possible,
Le mieux est d’utiliser des messageries plus respectueuses de votre vie privée comme Matrix qui est décentralisée et sécurisée. Bien sûr, il faudrait convaincre l’ensemble de vos contacts d’aller sur ce type de solutions. L’objet de mes prochains billets 🙂
ℹ️ Et la messagerie Signal dans tout ça ?
Selon l’Étude, Signal pourrait être concerné par ce type de surveillance. Cependant, lors de mes tests personnels, je n’ai pas réussi à mettre ce comportement en évidence. En contrepartie, Signal propose des options de confidentialité plus strictes que WhatsApp, permettant de mieux limiter les risques.
Paramètres → Confidentialité → Numéro de téléphone
- Choisir « Personne » pour Qui peut voir mon numéro
- Choisir « Personne » pour Qui peut me trouver avec mon numéro
Cela limite les contacts non désirés et réduit les possibilités de ciblage opportuniste, même si le compte reste techniquement lié à un numéro.
À souligne, Signal permet aujourd’hui d’utiliser l’application sans exposer son numéro de téléphone comme identifiant public, ce qui constitue une protection supplémentaire.
Conclusion :
Cette étude montre qu’aucune messagerie grand public n’est complètement à l’abri, même WhatsApp et Signal, très répandus (3 milliards d’utilisateurs), puisque connaître un numéro suffit pour cibler quelqu’un.
J’ai choisi de me concentrer sur WhatsApp, dont la popularité peut donner un faux sentiment de sécurité. L’objectif de ce billet est avant tout de sensibiliser et d’aider chacun à mieux configurer son application pour limiter les risques.
Meta, la société propriétaire de WhatsApp, est au courant de ce risque depuis 2024, mais n’a rien fait jusqu’à présent pour le limiter et protéger ses utilisateurs/utilisatrices.
Leave a Reply