Vous venez d'acheter votre premier iPhone, vous commencez à communiquer avec vos amis via WhatsApp, et vous craignez que quelqu'un fouine dans vos messages sans que vous le remarquiez ? Vous êtes en bonne compagnie.
Chaque jour, on reçoit des dizaines de messages d'amis, de lecteurs et de connaissances qui demandent s'il est possible d'espionner l'iPhone WhatsApp. Si cette application est vraiment aussi sûre qu'ils veulent nous le faire croire ; ou s'il y a quelque chose (ou plutôt quelqu'un) dont nous devrions avoir peur. Répondre à une telle question n'est pas du tout facile. Cela prend certainement un certain temps, alors si vous êtes d'accord, on vous dirait de prendre quelques minutes et d'aborder le problème ensemble.
Poursuivez votre lecture. Nous allons essayer de découvrir quels sont les risques possibles pour la vie privée auxquels nous sommes confrontés en utilisant WhatsApp. Nous apprendrons à reconnaître les tentatives d'espionnage des méchants et, surtout, nous verrons quelles mesures nous prenons pour garder nos conversations à l'abri des regards indiscrets (dans la mesure du possible). On espère que vous trouverez le sujet stimulant au bon endroit et que les suggestions qu’on va vous faire seront intéressantes.
Renifler les réseaux Wi-Fi
Vous avez déjà entendu parler de Wireshark ? Il s'agit d'un logiciel gratuit qui permet de surveiller les réseaux Wi-Fi et de "capturer" toutes les données qui y circulent. Si vous vous souvenez bien, on vous en a parlé dans un tutoriel sur la façon de sniffer les réseaux sans fil. Eh bien, en utilisant un programme comme Wireshark, les cybercriminels peuvent être capables de capturer les communications de WhatsApp et de les espionner sans votre permission.
Malheureusement, nous, les utilisateurs, ne pouvons rien faire pour contrer ce genre de menace. La seule chose que nous pouvons faire est d'éviter l'utilisation des réseaux Wi-Fi publics (qui sont connus pour être le terrain de chasse privilégié des fouineurs), mais heureusement, capturer les conversations de WhatsApp via le reniflage des réseaux sans fil ne devrait pas être si facile.
Les développeurs des Systèmes Whisper ouverts ont annoncé que WhatsApp adopterait leur technologie de cryptage de bout en bout pour rendre les communications des utilisateurs plus sûres. Le cryptage de bout en bout est un système par lequel les données voyagent cryptées d'un point à l'autre sans que personne d'autre que les expéditeurs et destinataires légitimes ne puisse en lire le contenu.
Il fonctionne avec un mécanisme basé sur l'utilisation de deux clés. Une clé publique qui est partagée avec votre interlocuteur et qui sert à crypter les messages envoyés, et une clé privée qui réside sur le smartphone de chaque utilisateur et qui vous permet de décrypter les messages que vous recevez. Le fait que les clés résident sur les appareils de l'utilisateur et non sur les serveurs de WhatsApp (sur lesquels les messages arrivent sous forme cryptée) rend ce système très sûr, mais il y a malheureusement quelques inconnues qui ne nous permettent pas de dormir sur nos deux oreilles.
Une équipe allemande de sécurité informatique a effectué des tests sur WhatsApp, découvrant que seules les communications vers et depuis les terminaux Android utilisaient un cryptage de bout en bout. Sur les autres plates-formes, un système de cryptage basé sur l'algorithme RC4 a été utilisé, qui est sujet à plusieurs vulnérabilités et permet potentiellement aux cybercriminels de capturer les messages des utilisateurs par reniflage sans fil.
Aujourd'hui, la situation a définitivement changé, car toutes les plateformes adoptent le cryptage de bout en bout, mais il y a un autre facteur à prendre en compte. Etant un logiciel fermé, dont nous ne pouvons pas analyser le code source, nous ne sommes pas en mesure de déterminer dans quelle mesure le cryptage de bout en bout a été correctement mis en œuvre sur WhatsApp. Cela nous empêche donc de vérifier que le cryptage fonctionne correctement sur toutes les plates-formes, s'il a été désactivé dans certains pays sous la pression d'organismes gouvernementaux, etc.
Eh bien, comme on l’a dit, nous évitons d'utiliser les réseaux Wi-Fi publics. Ou bien nous arrêtons d'utiliser WhatsApp au profit d'applications de messagerie open source qui prennent en charge le cryptage de bout en bout de manière transparente.
Applications d'espionnage
Comme nous l'avons vu ensemble dans l'article sur les applications d'espionnage pour les téléphones portables, il existe de nombreux logiciels qui nous permettent d'enregistrer et de surveiller en permanence les activités que nous effectuons sur nos smartphones.
Il s'agit souvent de logiciels invisibles qui, heureusement, nécessitent un accès physique au téléphone de la victime pour être installés. Mais une fois qu'ils sont opérationnels, ils peuvent espionner l'iPhone WhatsApp et toute autre activité sur l'appareil sans éveiller de soupçons.
Si vous craignez que votre iPhone ait été "infecté" par l'une de ces applications, on est désolé, mais la seule façon de vous en débarrasser est de formater votre smartphone. Pour ce faire, vous pouvez aller dans « Réglages et Général, puis Réinitialiser iOS » et sélectionner l'option « Initialiser le contenu » et les paramètres ou aller dans iTunes.
Vol d'identité
Un autre risque contre lequel vous devez être sur vos gardes est le vol d'identité. Grâce à des astuces psychologiques (dites d'ingénierie sociale), des personnes malveillantes pourraient momentanément prendre possession de votre iPhone et "cloner" votre compte WhatsApp, obtenant ainsi un accès gratuit à vos conversations.
Parmi les techniques les plus insidieuses utilisées par les cybercriminels pour voler les identités des utilisateurs sur WhatsApp, il y a celle qui concerne WhatsApp Web.
Comme vous le savez certainement, et comme on l'a également expliqué dans un tutoriel WhatsApp pour PC, WhatsApp Web est un service en ligne qui vous permet d'envoyer et de recevoir des messages sur WhatsApp via un ordinateur en utilisant votre smartphone comme "passerelle".
Pour y accéder, il suffit de scanner avec votre téléphone portable un code QR qui s'affiche sur l'écran de votre PC et de garder votre smartphone connecté à Internet : peu importe le réseau, Wi-Fi ou 3G/LTE, tout va bien, tant qu'il y a une connexion active sur le téléphone. Et c'est là que la "beauté" entre en jeu.
Un attaquant peut prendre possession de votre iPhone, l'utiliser pour accéder à WhatsApp Web et cocher la case "Rester connecté" qui permet au navigateur de stocker l'identité de l'utilisateur, puis éviter de scanner le code QR pour un accès ultérieur. Une fois que vous avez fait cela, l'"espion" peut accéder à vos chats via WhatsApp Web.
Si vous suspectez que quelqu'un fouine dans vos conversations Web WhatsApp, ouvrez WhatsApp, sélectionnez l'onglet « Paramètres » dans le coin inférieur droit, appuyez sur WhatsApp Web/Desktop, et appuyez d'abord sur « Déconnecter » de tous les périphériques, puis sur « Déconnecter ». Ainsi, tous les appareils qui ont accès à votre compte perdront leur connexion et vous serez invité à scanner à nouveau le code QR (ce que la personne qui vous espionne ne pourra pas faire, car elle n'a pas votre iPhone).
Comme les dernières versions de WhatsApp envoient des notifications lorsque vous vous connectez à votre compte via WhatsApp Web. Gardez toujours un œil sur les notifications qui arrivent sur votre iPhone. Pour l'instant, cette fonction semble être réservée aux appareils Android, mais la situation pourrait changer à tout moment, fournissant une arme supplémentaire pour tuer dans l'œuf quand vous devez arrêter une intrusion.
Une autre technique, beaucoup plus longue, complexe et "raffinée", qui pourrait permettre à un agresseur d'espionner l'iPhone WhatsApp est le clonage d'adresses MAC.
L'adresse MAC est un code à 12 chiffres qui sert à identifier de manière unique tous les appareils capables de se connecter à l'internet. WhatsApp l'utilise, avec le numéro de téléphone, pour identifier ses utilisateurs. Ainsi, en le déguisant, vous pouvez tromper l'application et accéder au compte d'une autre personne.
Pour être précis, l'"espion" en service doit faire une évasion sur son iPhone (ou sa racine sur Android), installer des applications permettant de camoufler l'adresse MAC (par exemple BusyBox et Adresse Mac Ghost sur Android ou SpoofMAC sur iPhone) et prendre possession du téléphone de la victime.
Ensuite, vous devez afficher l'adresse MAC du téléphone que vous espionnez (en allant dans « Paramètres et Général, puis Info »), l'appliquer au vôtre, installer une nouvelle copie de WhatsApp et l'activer en utilisant le numéro de la victime.
La procédure est très longue et complexe, mais il est bon de la connaître pour savoir quand quelqu'un essaie de la mettre en pratique. Comme l'usurpation d'identité sur WhatsApp nécessite un accès physique au smartphone de la victime, la chose la plus sage à faire est de se protéger en appliquant tous les conseils de bon sens que vous avez déjà entendus mille fois.