Des chercheurs ont découvert une faille dans certaines applications de messagerie. Le bug permet de localiser les utilisateurs avec l’aide du statut d’envoi des messages. C’est une équipe de chercheurs de Restore Privacy qui est à l’origine de la découverte. Il est possible de localiser un utilisateur en grâce au statut d’envoi d’un message. Si la méthode de calcul n’est pas accessible à tous, elle est cependant très fiable. Trois applications sont concernées : WhatsApp, Signal et Threema. La localisation s’appuie sur le délai de confirmation de l’envoi à l’expéditeur. Selon les chercheurs, cela est possible parce que « les réseaux Internet mobiles et l’infrastructure des serveurs d’applications de messagerie instantanée ont des caractéristiques physiques spécifiques. Ce qui se traduit par des trajets de signaux standards, et ces notifications présentent des retards prévisibles en fonction de la position de l’utilisateur ». Autrement dit, un pirate peut localiser le destinataire d’un message en fonction du temps que le « V », en bas à droite d’un message envoyé, met à devenir « VV ». Plus inquiétant encore, cette méthode de géolocalisation fonctionne dans 80 % des cas. Sans compter que l’utilisation répétée de ce calcul permet d’établir un véritable schéma des localisations préférentielles de l’utilisateur visé. Un problème de crédibilité Or, la faille est critique pour Signal et Threema. Plus qu’elle ne l’est pour WhatsApp. D’une part, parce que les termes « Meta » et « sécurité des données » n’ont jamais très bien fonctionné dans la même phrase. D’autre part, puisque la confidentialité est le fer de lance de Signal et Threema. Depuis leurs débuts, ces deux applications de messagerie se targuent d’être une alternative de confiance. Certes, elles sont encore loin de faire le poids face aux deux milliards d’utilisateurs de WhatsApp. Mais avec respectivement 40 millions et 10 millions d’usagers, la base reste solide. Toutefois, inutile de déserter ces trois messageries. Les équipes de Restore Privacy suggèrent trois solutions, et deux d’entre elles s’adressent directement aux utilisateurs. Par exemple, les chercheurs expliquent qu’installer un VPN sur son smartphone permet d’augmenter la latence et, par extension, le délai de confirmation. Par ailleurs, supprimer les accusés de lecture des messages est tout aussi efficace, et encore plus simple à appliquer. Il suffit de se rendre dans les paramètres de l’application et d’aller dans l’onglet confidentialité pour modifier le réglage. La méthode est expéditive, mais efficace. Enfin, Restore Privacy envisage une troisième solution. Celle-ci, à destination des développeurs. Les chercheurs indiquent que rendre le délai de confirmation aléatoire, sur une base d’une à vingt secondes, permettrait d’éliminer le risque de localisation. WhatsApp et Signal ont d’ailleurs d’ores et déjà annoncé être en train de travailler sur le problème.