Des attaquants peuvent construire des modèles de comportement précis
Pour cette étude approfondie, les chercheurs ont sollicité 10 % de tous les numéros de téléphone portable américains pour WhatsApp et 100 % pour Signal. Ils ont ainsi pu recueillir des données personnelles (méta) couramment stockées dans les profils d'utilisateurs des messageries, notamment des photos de profil, des surnoms, des textes de statut et la "dernière fois en ligne". Les données analysées révèlent également des statistiques intéressantes sur le comportement des utilisateurs. Par exemple, très peu d'utilisateurs modifient les paramètres de confidentialité par défaut, qui, pour la plupart des messageries, ne sont pas du tout respectueux de la vie privée. Les chercheurs ont découvert qu'environ 50 % des utilisateurs de WhatsApp aux États-Unis ont une photo de profil publique et 90 % un texte "À propos" public. Il est intéressant de noter que 40 % des utilisateurs de Signal, dont on peut supposer qu'ils sont plus soucieux du respect de la vie privée en général, utilisent également WhatsApp, et que tous les autres utilisateurs de Signal ont une photo de profil publique sur WhatsApp. Le suivi de ces données dans le temps permet aux attaquants de construire des modèles de comportement précis. Lorsque les données sont mises en correspondance sur les réseaux sociaux et les sources de données publiques, des tiers peuvent également établir des profils détaillés, par exemple pour escroquer les utilisateurs. Pour Telegram, les chercheurs ont découvert que son service de découverte de contacts expose un nombre de contacts potentiels pour les propriétaires de numéros de téléphone qui ne sont même pas enregistrés auprès du service.
Les informations qui sont révélées lors de la découverte des contacts et qui peuvent être collectées par des crawling attacks dépendent du fournisseur de services et des paramètres de confidentialité de l'utilisateur. WhatsApp et Telegram, par exemple, transmettent l'intégralité du carnet d'adresses de l'utilisateur à leurs serveurs. D'autres messageries plus respectueuses de la vie privée, comme Signal, ne transmettent que de courtes valeurs de hachage cryptographique des numéros de téléphone ou s'appuient sur du matériel de confiance.
Cependant, l'équipe de recherche montre qu'avec les nouvelles stratégies d'attaque optimisées, la faible entropie des numéros de téléphone permet aux attaquants de déduire les numéros de téléphone correspondants des hachages cryptographiques en quelques millisecondes. De plus, comme il n'y a pas de restrictions notables pour s'inscrire à des services de messagerie, tout tiers peut créer un grand nombre de comptes pour explorer la base de données des utilisateurs d'une messagerie à la recherche d'informations en demandant des données pour des numéros de téléphone aléatoires. "Nous conseillons vivement à tous les utilisateurs d'applications de messagerie de revoir leurs paramètres de confidentialité. C'est actuellement la protection la plus efficace contre les crawlings attaques sur lesquelles nous avons enquêté", conviennent le professeur Alexandra Dmitrienko (Université de Würzburg) et le professeur Thomas Schneider (TU Darmstadt).
Impact des résultats de la recherche : les prestataires de services améliorent leurs mesures de sécurité
L'équipe de recherche a fait part de ses conclusions aux acteurs concernés. En conséquence, WhatsApp a amélioré ses mécanismes de protection de sorte que les attaques à grande échelle puissent être détectées, et Signal a réduit le nombre de requêtes possibles pour compliquer les crawling attacks. Les chercheurs ont également proposé de nombreuses autres techniques d'atténuation, notamment une nouvelle méthode de découverte des contacts qui pourrait être adoptée pour réduire encore l'efficacité des attaques sans nuire à la convivialité.
source :
https://www.tu-darmstadt.de/universitaet/aktuelles_meldungen/einzelansicht_271872.en.jsp