{"id":1769,"date":"2025-12-08T11:50:16","date_gmt":"2025-12-08T10:50:16","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/careless-whisper-la-faille-whatsapp-qui-permet-de-vous-traquer\/"},"modified":"2025-12-08T11:50:16","modified_gmt":"2025-12-08T10:50:16","slug":"careless-whisper-la-faille-whatsapp-qui-permet-de-vous-traquer","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/careless-whisper-la-faille-whatsapp-qui-permet-de-vous-traquer\/","title":{"rendered":"Careless Whisper &#8211; La faille WhatsApp qui permet de vous traquer"},"content":{"rendered":"<p>Vous pensiez encore que WhatsApp \u00e9tait secure gr\u00e2ce au chiffrement de bout en bout ?<\/p>\n<p>Pauvres fous ^^ !<\/p>\n<p>En fait, des chercheurs de l\u2019Universit\u00e9 de Vienne viennent (!!) de d\u00e9montrer qu\u2019on peut vous espionner \u00e0 distance via Whatsapp sans que vous receviez la moindre notif.<\/p>\n<p>L\u2019attaque s\u2019appelle \u201c<em>Careless Whisper<\/em>\u201d (oui,<br \/>\n<a href=\"https:\/\/www.youtube.com\/watch?v=izGwDsrQ1eQ\">comme la chanson<\/a><br \/>\nde George Michael) et elle exploite un truc tout b\u00eate : <strong>les accus\u00e9s de r\u00e9ception<\/strong>, ces petits checks bleus qui vous indiquent qu\u2019un message a \u00e9t\u00e9 d\u00e9livr\u00e9 puis vu\u2026<\/p>\n<p>Ainsi, en envoyant des messages sp\u00e9cialement con\u00e7us pour l\u2019occasion, notamment des r\u00e9actions \u00e0 des messages qui n\u2019existent pas, un attaquant peut d\u00e9clencher des accus\u00e9s de r\u00e9ception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui appara\u00eet, mais de l\u2019autre c\u00f4t\u00e9, votre stalker psychopathe mesure le temps que met votre t\u00e9l\u00e9phone \u00e0 r\u00e9pondre.<\/p>\n<p>Et en analysant ces temps de r\u00e9ponse, on peut savoir si votre \u00e9cran est allum\u00e9 ou \u00e9teint, si WhatsApp est ouvert au premier plan, quel syst\u00e8me d\u2019exploitation vous utilisez, combien d\u2019appareils sont connect\u00e9s \u00e0 votre compte, et m\u00eame d\u00e9duire vos horaires de sommeil. Tout sans que vous ayez le moindre indice qu\u2019on vous surveille, \u00e9videmment !<\/p>\n<p>La recherche,<br \/>\n<a href=\"https:\/\/arxiv.org\/abs\/2411.11194\">disponible ici<\/a><br \/>\n, a d\u2019ailleurs re\u00e7u le Best Paper Award \u00e0 la conf\u00e9rence RAID 2025. Les chercheurs ont test\u00e9 sur WhatsApp et Signal, et les deux sont vuln\u00e9rables. Mais sur WhatsApp, c\u2019est le pire, car l\u2019application autorise des payloads de r\u00e9action jusqu\u2019\u00e0 1 Mo, ce qui permet de g\u00e9n\u00e9rer 13 Go de trafic par heure sur le t\u00e9l\u00e9phone de la victime, donc \u00e7a permet m\u00eame de vider tranquillement sa batterie de 15 \u00e0 18% par heure sans qu\u2019elle ne s\u2019en rende compte.<\/p>\n<p>Un d\u00e9veloppeur a m\u00eame cr\u00e9\u00e9 un<br \/>\n<a href=\"https:\/\/github.com\/gommzystudio\/device-activity-tracker\">outil open source<\/a><br \/>\npour tester la faille de mani\u00e8re responsable et en respectant la loi \u00e9videmment. Si vous voulez tester, faites-le uniquement sur votre mat\u00e9riel. L\u2019interface de ce PoC permet de traquer en temps r\u00e9el l\u2019activit\u00e9 d\u2019un num\u00e9ro de t\u00e9l\u00e9phone. En dessous d\u2019un certain seuil sur le d\u00e9lai de r\u00e9ponse, la personne est active, et au-dessus, elle dort ou son t\u00e9l\u00e9phone est en veille.<\/p>\n<p>\n<img decoding=\"async\" src=\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/careless-whisper-whatsapp-tracking-silencieux\/careless-whisper-whatsapp-tracking-silencieux-1.png\" alt=\"\" loading=\"lazy\">\n<\/p>\n<p>Les chercheurs ont bien s\u00fbr signal\u00e9 la faille \u00e0 Meta en septembre 2024, qui a \u201caccus\u00e9 r\u00e9ception\u201d (lol), mais aucune correction n\u2019a \u00e9t\u00e9 apport\u00e9e depuis. Et chez Signal ils n\u2019ont pas r\u00e9pondu du tout.<\/p>\n<p>Alors comment on fait pour se prot\u00e9ger de \u00e7a ? Et bien dans Whatsapp, il y\u2019a une option qui se trouve dans Param\u00e8tres \u2192 Confidentialit\u00e9 et autoriser seulement \u201cMes Contacts\u201d \u00e0 voir ce qu\u2019on partage, ce qui permet de limiter les accus\u00e9s de r\u00e9ception \u00e0 vos contacts uniquement. \u00c7a ne r\u00e8gle pas tout, mais \u00e7a complique la t\u00e2che des inconnus qui voudraient vous traquer.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/careless-whisper-whatsapp-tracking-silencieux\/careless-whisper-whatsapp-tracking-silencieux-2.png\" alt=\"\" loading=\"lazy\"><\/p>\n<p>Voil\u00e0, une fois encore, m\u00eame sur les apps avec du chiffrement de bout en bout qui prot\u00e8ge le contenu des messages, \u00e7a ne fait pas tout, car il y a toujours des m\u00e9tadonn\u00e9es qui peuvent \u00eatre exploit\u00e9es de mani\u00e8re frauduleuse, donc soyez vigilant \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vous pensiez encore que WhatsApp \u00e9tait secure gr\u00e2ce au chiffrement de bout en bout ? Pauvres fous ^^ ! En fait, des chercheurs de l\u2019Universit\u00e9 de Vienne viennent (!!) de d\u00e9montrer qu\u2019on peut vous espionner \u00e0 distance via Whatsapp sans que vous receviez la moindre notif. L\u2019attaque s\u2019appelle \u201cCareless Whisper\u201d (oui, comme la chanson de George Michael) et elle exploite un truc tout b\u00eate : les accus\u00e9s de r\u00e9ception, ces petits checks bleus qui vous indiquent qu\u2019un message a \u00e9t\u00e9 d\u00e9livr\u00e9 puis vu\u2026 Ainsi, en envoyant des messages sp\u00e9cialement con\u00e7us pour l\u2019occasion, notamment des r\u00e9actions \u00e0 des messages qui n\u2019existent pas, un attaquant peut d\u00e9clencher des accus\u00e9s de r\u00e9ception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui appara\u00eet, mais de l\u2019autre c\u00f4t\u00e9, votre stalker psychopathe mesure le temps que met votre t\u00e9l\u00e9phone \u00e0 r\u00e9pondre. Et en analysant ces temps de r\u00e9ponse, on peut savoir si votre \u00e9cran est allum\u00e9 ou \u00e9teint, si WhatsApp est ouvert au premier plan, quel syst\u00e8me d\u2019exploitation vous utilisez, combien d\u2019appareils sont connect\u00e9s \u00e0 votre compte, et m\u00eame d\u00e9duire vos horaires de sommeil. Tout sans que vous ayez le moindre indice qu\u2019on vous surveille, \u00e9videmment ! La recherche, disponible ici , a d\u2019ailleurs re\u00e7u le Best Paper Award \u00e0 la conf\u00e9rence RAID 2025. Les chercheurs ont test\u00e9 sur WhatsApp et Signal, et les deux sont vuln\u00e9rables. Mais sur WhatsApp, c\u2019est le pire, car l\u2019application autorise des payloads de r\u00e9action jusqu\u2019\u00e0 1 Mo, ce qui permet de g\u00e9n\u00e9rer 13 Go de trafic par heure sur le t\u00e9l\u00e9phone de la victime, donc \u00e7a permet m\u00eame de vider tranquillement sa batterie de 15 \u00e0 18% par heure sans qu\u2019elle ne s\u2019en rende compte. Un d\u00e9veloppeur a m\u00eame cr\u00e9\u00e9 un outil open source pour tester la faille de mani\u00e8re responsable et en respectant la loi \u00e9videmment. Si vous voulez tester, faites-le uniquement sur votre mat\u00e9riel. L\u2019interface de ce PoC permet de traquer en temps r\u00e9el l\u2019activit\u00e9 d\u2019un num\u00e9ro de t\u00e9l\u00e9phone. En dessous d\u2019un certain seuil sur le d\u00e9lai de r\u00e9ponse, la personne est active, et au-dessus, elle dort ou son t\u00e9l\u00e9phone est en veille. Les chercheurs ont bien s\u00fbr signal\u00e9 la faille \u00e0 Meta en septembre 2024, qui a \u201caccus\u00e9 r\u00e9ception\u201d (lol), mais aucune correction n\u2019a \u00e9t\u00e9 apport\u00e9e depuis. Et chez Signal ils n\u2019ont pas r\u00e9pondu du tout. Alors comment on fait pour se prot\u00e9ger de \u00e7a ? Et bien dans Whatsapp, il y\u2019a une option qui se trouve dans Param\u00e8tres \u2192 Confidentialit\u00e9 et autoriser seulement \u201cMes Contacts\u201d \u00e0 voir ce qu\u2019on partage, ce qui permet de limiter les accus\u00e9s de r\u00e9ception \u00e0 vos contacts uniquement. \u00c7a ne r\u00e8gle pas tout, mais \u00e7a complique la t\u00e2che des inconnus qui voudraient vous traquer. Voil\u00e0, une fois encore, m\u00eame sur les apps avec du chiffrement de bout en bout qui prot\u00e8ge le contenu des messages, \u00e7a ne fait pas tout, car il y a toujours des m\u00e9tadonn\u00e9es qui peuvent \u00eatre exploit\u00e9es de mani\u00e8re frauduleuse, donc soyez vigilant \ud83d\ude42<\/p>\n","protected":false},"author":1,"featured_media":1770,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-1769","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1769","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=1769"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1769\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/1770"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=1769"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}