Ni WhatsApp ni Signal ne sont « endommagés » dans l’essentiel que l’utilisateur associe généralement à la sécurité : le chiffrement de bout en bout continue de protéger le contenu des messages. Cependant, la dernière alerte circulant dans la communauté de la sécurité rappelle encore une fois la faiblesse la plus courante en messagerie : les métadonnées et, dans ce cas, les temps.
La nouvelle a pris de l’ampleur après la publication sur GitHub d’un proof of concept (PoC) qui implémente les idées de l’article académique Careless Whisper, élaboré par des chercheurs affiliés à l’Université de Vienne et à SBA Research. L’objectif du PoC est de démontrer qu’en mesurant le round-trip time (RTT) de certaines confirmations internes — ces réponses techniques qui font que l’application fonctionne et synchronise ses états — il est possible de déduire si un appareil est actif, s’il reste en repos ou s’il est hors ligne. À moyen terme, le danger ne réside pas tant dans la « lecture des messages », mais dans la reconstruction de schémas : horaires, routines et fenêtres d’activité.
Le problème ne concerne pas la « vu » : c’est le signal laissé par l’infrastructure
Dans la culture populaire, la vie privée sur WhatsApp est souvent discutée autour du « double tick bleu ». Cependant, les travaux académiques insistent sur le fait que le vecteur le plus sensible ne passe pas par la confirmation de lecture, mais par les confirmations de livraison, qui ne peuvent pas être désactivées en raison des choix de conception du protocole. L’article soutient qu’avec des messages ou des interactions soigneusement conçus pour générer des confirmations « silencieuses », un attaquant pourrait « pinguer » un utilisateur sans qu’il reçoive une notification évidente. À partir de là, la chronologie fait le reste : des variations en millisecondes peuvent devenir un signal utile pour classer l’état de l’appareil.
Lors de la présentation publique associée à cette recherche, les auteurs illustrent un point clé : lorsque le téléphone est en utilisation (écran allumé), les confirmations tendent à être émises plus rapidement ; lorsqu’il est en repos (écran éteint), des latences mesurables apparaissent. En environnement avec plusieurs appareils (mobile et clients web/bureau), l’étude indique également que la coexistence de sessions peut offrir encore plus de marges pour l’observation.
De la théorie à l’impact : surveillance discrète et consommation de ressources
Le débat devient plus sérieux lorsque l’on passe du « c’est intéressant » au « cela peut se développer à grande échelle » : l’étude avertit que cette attaque peut être automatisée à haute fréquence, avec un seuil opérationnel faible : dans le scénario décrit, il suffit de connaître le numéro de téléphone de la cible. Ceci ouvre la porte à une utilisation problématique dans les cas de harcèlement, contrôle coercitif ou surveillance ciblée, même sans accès au compte.
En plus de profiler l’activité, la présentation des chercheurs évoque une autre conséquence : l’. Sous certaines conditions, une campagne maintenue d’interactions pourrait forcer l’appareil à traiter du trafic en continu. Dans leur démonstration, les auteurs quantifient des consommations significatives (par exemple, décharge de batterie et consommation de données par heure) et soulignent une différence pratique : WhatsApp aurait montré moins de limitations dans leur expérience, tandis que Signal aurait appliqué plus de friction, rendant l’abus plus difficile.
Quelles réponses des plateformes ?
Selon heise, le média a interrogé WhatsApp et Signal sur la situation et sur d’éventuelles mesures ou échéances. Concernant WhatsApp, la réponse rapportée ne fournirait pas de calendrier précis ni clarifierait les limites de protections déjà en place. Quant à Signal, aucune option spécifique capable de trier directement le problème ne serait mise en avant.
Le cœur du problème est à la fois technique et politique : si le canal secondaire est confirmé comme exploitable en conditions réelles, la solution profonde ne se limitera pas à « éduquer l’utilisateur » (bien que cela puisse aider), mais à modifications du design : atténuer ou aléatoriser les temporisations, durcir les limites de fréquence, introduire des contrôles pour les interactions d’inconnus, réduire la utilité de ces confirmations comme signal fiable.
Mitigation pour les utilisateurs et les équipes de sécurité : utiles mais partielles
Pour un environnement technologique, le message pratique est double :
- Ce n’est pas un problème de chiffrement, mais de métadonnées et de comportement du système.
- Les mesures actuelles sont incomplètes, mais il existe des options raisonnables pour réduire l’exposition.
WhatsApp inclut une fonction visant à limiter les abus venant de comptes inconnus : bloquer les envois massifs de messages de comptes non enregistrés dans les réglages avancés de confidentialité. Cela peut compliquer les attaques à haute fréquence depuis des numéros non sauvegardés, même si la plateforme ne publie pas le seuil exact, donc ne peut pas être présenté comme une « cure » totale.
Il est également conseillé de ne pas avoir une fausse sensation de sécurité : désactiver les accusés de lecture peut améliorer la confidentialité au quotidien, mais la recherche indique que cela ne suffit pas pour neutraliser ce vecteur, car il repose aussi sur des confirmations de livraison et d’autres mécanismes toujours actifs.
Pour les organisations (écoles, entreprises, administrations), l’approche change : en plus d’ajuster la confidentialité, il est pertinent de considérer la messagerie comme une surface de risque et de renforcer la formation sur les métadonnées, pas seulement sur le contenu. La sécurité moderne ne concerne pas seulement « ce que vous dites », mais aussi « quels signaux vous émettez involontairement ».
Questions fréquentes
Qu’est-ce qu’une attaque par RTT en messagerie et pourquoi concerne-t-elle WhatsApp et Signal ?
C’est une technique basée sur la mesure du temps aller-retour des confirmations techniques. Si ces temps varient selon l’état de l’appareil, ils peuvent servir de signal pour déduire l’activité, même avec le chiffrement activé.
Est-ce utile de désactiver le « vu » sur WhatsApp pour éviter ce type de suivi ?
Cela améliore la confidentialité lors de l’usage quotidien, mais la recherche indique que cela ne protège pas contre les confirmations de livraison ou les réponses internes qui ne dépendent pas du « vu ».
Quelle option spécifique peut aider sur WhatsApp contre les abus de numéros inconnus ?
L’option pour bloquer les grands volumes de messages provenant de comptes non enregistrés dans Paramètres → Confidentialité → Avancé peut réduire les tentatives répétées, sans garantir une protection totale.
Que devraient mettre en œuvre WhatsApp et Signal pour résoudre le problème à la source ?
Des changements de conception : renforcer la limitation du taux, réduire les confirmations exploitables de l’étranger, et intégrer des techniques comme le « padding » ou l’aléatorisation des temporisations pour rendre le RTT une variable fiable.
Source : Nouvelles de sécurité
Un canal latéral sur WhatsApp et Signal rouvre le débat sur les métadonnées : un PoC montre comment inférer l’activité du mobile en mesurant les temps de confirmation
Ni WhatsApp ni Signal ne sont « endommagés » dans l’essentiel que l’utilisateur associe généralement à la sécurité : le chiffrement de bout en bout continue de protéger le contenu des messages. Cependant, la dernière alerte circulant dans la communauté de la sécurité rappelle encore une fois la faiblesse la plus courante en messagerie : les métadonnées et, dans ce cas, les temps.
La nouvelle a pris de l’ampleur après la publication sur GitHub d’un proof of concept (PoC) qui implémente les idées de l’article académique Careless Whisper, élaboré par des chercheurs affiliés à l’Université de Vienne et à SBA Research. L’objectif du PoC est de démontrer qu’en mesurant le round-trip time (RTT) de certaines confirmations internes — ces réponses techniques qui font que l’application fonctionne et synchronise ses états — il est possible de déduire si un appareil est actif, s’il reste en repos ou s’il est hors ligne. À moyen terme, le danger ne réside pas tant dans la « lecture des messages », mais dans la reconstruction de schémas : horaires, routines et fenêtres d’activité.
Le problème ne concerne pas la « vu » : c’est le signal laissé par l’infrastructure
Dans la culture populaire, la vie privée sur WhatsApp est souvent discutée autour du « double tick bleu ». Cependant, les travaux académiques insistent sur le fait que le vecteur le plus sensible ne passe pas par la confirmation de lecture, mais par les confirmations de livraison, qui ne peuvent pas être désactivées en raison des choix de conception du protocole. L’article soutient qu’avec des messages ou des interactions soigneusement conçus pour générer des confirmations « silencieuses », un attaquant pourrait « pinguer » un utilisateur sans qu’il reçoive une notification évidente. À partir de là, la chronologie fait le reste : des variations en millisecondes peuvent devenir un signal utile pour classer l’état de l’appareil.
Lors de la présentation publique associée à cette recherche, les auteurs illustrent un point clé : lorsque le téléphone est en utilisation (écran allumé), les confirmations tendent à être émises plus rapidement ; lorsqu’il est en repos (écran éteint), des latences mesurables apparaissent. En environnement avec plusieurs appareils (mobile et clients web/bureau), l’étude indique également que la coexistence de sessions peut offrir encore plus de marges pour l’observation.
De la théorie à l’impact : surveillance discrète et consommation de ressources
Le débat devient plus sérieux lorsque l’on passe du « c’est intéressant » au « cela peut se développer à grande échelle » : l’étude avertit que cette attaque peut être automatisée à haute fréquence, avec un seuil opérationnel faible : dans le scénario décrit, il suffit de connaître le numéro de téléphone de la cible. Ceci ouvre la porte à une utilisation problématique dans les cas de harcèlement, contrôle coercitif ou surveillance ciblée, même sans accès au compte.
En plus de profiler l’activité, la présentation des chercheurs évoque une autre conséquence : l’. Sous certaines conditions, une campagne maintenue d’interactions pourrait forcer l’appareil à traiter du trafic en continu. Dans leur démonstration, les auteurs quantifient des consommations significatives (par exemple, décharge de batterie et consommation de données par heure) et soulignent une différence pratique : WhatsApp aurait montré moins de limitations dans leur expérience, tandis que Signal aurait appliqué plus de friction, rendant l’abus plus difficile.
Quelles réponses des plateformes ?
Selon heise, le média a interrogé WhatsApp et Signal sur la situation et sur d’éventuelles mesures ou échéances. Concernant WhatsApp, la réponse rapportée ne fournirait pas de calendrier précis ni clarifierait les limites de protections déjà en place. Quant à Signal, aucune option spécifique capable de trier directement le problème ne serait mise en avant.
Le cœur du problème est à la fois technique et politique : si le canal secondaire est confirmé comme exploitable en conditions réelles, la solution profonde ne se limitera pas à « éduquer l’utilisateur » (bien que cela puisse aider), mais à modifications du design : atténuer ou aléatoriser les temporisations, durcir les limites de fréquence, introduire des contrôles pour les interactions d’inconnus, réduire la utilité de ces confirmations comme signal fiable.
Mitigation pour les utilisateurs et les équipes de sécurité : utiles mais partielles
Pour un environnement technologique, le message pratique est double :
WhatsApp inclut une fonction visant à limiter les abus venant de comptes inconnus : bloquer les envois massifs de messages de comptes non enregistrés dans les réglages avancés de confidentialité. Cela peut compliquer les attaques à haute fréquence depuis des numéros non sauvegardés, même si la plateforme ne publie pas le seuil exact, donc ne peut pas être présenté comme une « cure » totale.
Il est également conseillé de ne pas avoir une fausse sensation de sécurité : désactiver les accusés de lecture peut améliorer la confidentialité au quotidien, mais la recherche indique que cela ne suffit pas pour neutraliser ce vecteur, car il repose aussi sur des confirmations de livraison et d’autres mécanismes toujours actifs.
Pour les organisations (écoles, entreprises, administrations), l’approche change : en plus d’ajuster la confidentialité, il est pertinent de considérer la messagerie comme une surface de risque et de renforcer la formation sur les métadonnées, pas seulement sur le contenu. La sécurité moderne ne concerne pas seulement « ce que vous dites », mais aussi « quels signaux vous émettez involontairement ».
Questions fréquentes
Qu’est-ce qu’une attaque par RTT en messagerie et pourquoi concerne-t-elle WhatsApp et Signal ?
C’est une technique basée sur la mesure du temps aller-retour des confirmations techniques. Si ces temps varient selon l’état de l’appareil, ils peuvent servir de signal pour déduire l’activité, même avec le chiffrement activé.
Est-ce utile de désactiver le « vu » sur WhatsApp pour éviter ce type de suivi ?
Cela améliore la confidentialité lors de l’usage quotidien, mais la recherche indique que cela ne protège pas contre les confirmations de livraison ou les réponses internes qui ne dépendent pas du « vu ».
Quelle option spécifique peut aider sur WhatsApp contre les abus de numéros inconnus ?
L’option pour bloquer les grands volumes de messages provenant de comptes non enregistrés dans Paramètres → Confidentialité → Avancé peut réduire les tentatives répétées, sans garantir une protection totale.
Que devraient mettre en œuvre WhatsApp et Signal pour résoudre le problème à la source ?
Des changements de conception : renforcer la limitation du taux, réduire les confirmations exploitables de l’étranger, et intégrer des techniques comme le « padding » ou l’aléatorisation des temporisations pour rendre le RTT une variable fiable.
Source : Nouvelles de sécurité
Info Cloud
le dernier
Un prototype EUV en Chine bouleverse le tableau : la clé n’est pas “l’avoir”, mais le faire évoluer
Zoom rediseña Workplace con una experiencia « AI-first » y estrena AI Companion 3.0 para acelerar el trabajo diario
Nvidia pourrait réduire la production de GPU GeForce en 2026 : une rumeur évoque une baisse de 30 % à 40 % et une pression accrue sur les prix
Un canal latéral sur WhatsApp et Signal rouvre le débat sur les métadonnées : un PoC montre comment inférer l’activité du mobile en mesurant les temps de confirmation
Bruxelles donne son feu vert à 623 millions pour deux nouvelles usines de puces en Allemagne et renforce l’engagement européen en faveur du « made in EU »
CrowdStrike met l’accent sur la « couche d’interaction » de l’IA : Falcon AIDR arrive pour freiner les injections de prompts et les abus d’agents