Les chercheurs en sécurité ont identifié une faille dans WhatsApp et Signal qui permet à des tiers de suivre l’activité des utilisateurs en quasi temps réel. Le problème est lié à la manière dont les deux services de messagerie gèrent les reçus de livraison, qui confirment qu’un message est arrivé à un appareil. En envoyant des messages à plusieurs reprises et en mesurant le timing de la réponse, un observateur peut déterminer si une cible est en ligne, hors ligne ou en train d’utiliser activement son téléphone. Le processus ne déclenche pas de notifications, laissant les utilisateurs inconscients de la surveillance en cours.
Les chercheurs ont indiqué que la technique repose sur l’analyse de petites variations des temps de réponse du réseau. Ces différences peuvent révéler quand un appareil se connecte ou se déconnecte du réseau et quand un utilisateur devient actif après une période d’inactivité. Parce que les reçus de livraison sont une partie essentielle du processus de messagerie, les utilisateurs ne peuvent pas les désactiver via les paramètres de confidentialité standards. Cela rend le comportement difficile à bloquer sans modification du système sous-jacent utilisé par les applications.
En plus de révéler les schémas d’activité, la méthode peut être utilisée pour drainer les ressources des appareils. Le sondage à haute fréquence augmente l’utilisation des données en arrière-plan et la consommation de batterie. Avec le temps, cela peut réduire l’autonomie et affecter les performances de l’appareil même lorsque l’utilisateur n’interagit pas activement avec les applications. Les chercheurs ont noté que cet aspect de la faille augmente son impact potentiel car il combine exposition à la vie privée et épuisement des ressources.
Le problème affecte à la fois WhatsApp et Signal car ils partagent des choix de conception similaires dans la gestion des accusés de réception de livraison. Les accusés de réception diffèrent des reçus de lecture, qui indiquent si un message a été ouvert et peuvent généralement être désactivés par les utilisateurs. Les reçus de livraison confirment la réception au niveau technique et restent actifs par défaut. Les chercheurs ont indiqué que ce choix de conception expose involontairement des informations temporelles qui peuvent être exploitées.
Les spécialistes de la sécurité ont déclaré que cette faille met en lumière des défis plus larges dans la protection de la vie privée des utilisateurs sur les grandes plateformes de messagerie. Les fonctionnalités conçues pour améliorer la fiabilité peuvent également créer des canaux secondaires qui révèlent des données comportementales. Limiter les contacts avec des numéros inconnus peut réduire l’exposition, mais cela ne traite pas entièrement le problème sous-jacent. Désactiver les reçus de lecture n’offre aucune protection contre ce type de suivi.
Les chercheurs ont indiqué que résoudre le problème nécessiterait probablement des modifications dans la manière dont les accusés de réception sont traités au niveau du protocole. Tant que ces changements ne seront pas effectués, les utilisateurs soucieux du suivi doivent être conscients que leur statut en ligne et leurs schémas d’activité peuvent être déduits sans accès direct à leurs comptes. Cette conclusion souligne la complexité de l’équilibre entre fonctionnalité et confidentialité dans les services de communication largement utilisés.