L’application de messagerie instantanée populaire WhatsApp a annoncé jeudi une nouvelle fonctionnalité de vérification de compte qui garantit que les logiciels malveillants exécutés sur l’appareil mobile d’un utilisateur n’affectent pas son compte.
« Les logiciels malveillants des appareils mobiles sont aujourd’hui l’une des plus grandes menaces pour la vie privée et la sécurité des personnes, car ils peuvent profiter de votre téléphone sans votre permission et utiliser votre WhatsApp pour envoyer des messages indésirables », a déclaré la société appartenant à Meta. a dit dans une annonce.
Appelé Vérification de l’appareilla mesure de sécurité est conçue pour aider à prévenir les attaques de prise de contrôle de compte (ATO) en bloquant la connexion de l’auteur de la menace et en permettant à la cible d’utiliser l’application sans aucune interruption.
En d’autres termes, l’objectif est de dissuader les attaquants d’utiliser des logiciels malveillants pour voler les clés d’authentification et détourner les comptes des victimes, puis de se faire passer pour eux pour distribuer des spams et des liens de phishing.
Ceci, à son tour, est réalisé en introduisant un jeton de sécurité qui est stocké localement sur l’appareil, un nonce cryptographique pour identifier si un client WhatsApp contacte le serveur pour récupérer les messages entrants, et un défi d’authentification qui agit comme un « ping invisible ». » du serveur à l’appareil d’un utilisateur.
Le client doit envoyer le jeton de sécurité chaque fois qu’il se connecte au serveur. Le jeton de sécurité, quant à lui, est mis à jour chaque fois qu’il récupère un message hors ligne sur le serveur.
Un défi d’authentification est considéré comme un échec lorsque le client répond au défi à partir d’un appareil différent, indiquant une connexion anormale provenant d’un attaquant. Cela provoque le blocage de la connexion.
S’il n’y a pas de réponse du client, le processus est réessayé « quelques fois de plus », après quoi la connexion sera bloquée si le client ne répond toujours pas.
WhatsApp a déclaré que la vérification des appareils a été déployée pour tous les utilisateurs d’Android et qu’elle est en cours de déploiement pour les utilisateurs d’iOS.
Cette fonctionnalité fait partie d’un ensemble plus large de nouvelles améliorations conçues pour authentifier et vérifier l’identité des utilisateurs, notamment l’affichage d’alertes en cas de tentative de migration d’un compte WhatsApp d’un appareil à un autre.
Également lancé par WhatsApp est un « Transparence des clés » pour confirmer automatiquement si les chats sont cryptés de bout en bout sans nécessiter d’actions supplémentaires de la part de l’utilisateur.
Pour ce faire, il implémente un nouveau répertoire de clés auditables (AKD) basé sur des protocoles existants tels que CONIKS et SEMBLABLE pour aider les utilisateurs à vérifier la sécurité de leur conversation.
« L’AKD permettra aux clients WhatsApp de valider automatiquement l’authenticité de la clé de chiffrement d’un utilisateur et permettra à quiconque de vérifier les preuves d’audit de l’exactitude du répertoire », a déclaré la société.
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
Vérification nécessite actuellement les utilisateurs d’un chat de comparer manuellement le code de sécurité (qui existe sous la forme d’un code QR et d’un numéro à 60 chiffres) en l’envoyant au participant à l’autre bout du fil par SMS ou par e-mail, ou encore en scannant le code QR si les parties sont physiquement côte à côte.
Le code de sécurité n’est rien d’autre qu’un hachage unique de la paire de clés publique/privée générée pour faciliter la messagerie cryptée de bout en bout. Ça peut changement lorsque les utilisateurs changent d’appareil ou réinstallent WhatsApp.
Key Transparency rationalise le processus de vérification en utilisant un flux automatisé qui conserve un enregistrement des modifications de clé publique dans un répertoire, permettant ainsi à un client de vérifier par rapport à celui-ci.
WhatsApp a l’intention de mettre cette fonctionnalité en ligne dans les mois à venir, bien qu’il héberge et exploite déjà un répertoire de clés auditables de tous ses utilisateurs. « Il s’agit d’un mécanisme important qui permet aux utilisateurs soucieux de la sécurité de vérifier rapidement une conversation personnelle cryptée de bout en bout », a ajouté la société.