Le protocole de cryptage personnalisé de WeChat sous surveillance

Le Citizen Lab de l'Université de Toronto ( ) a récemment étudié le cryptage de WeChat et trouvé des failles de sécurité de l'université de Toronto a récemment étudié le cryptage de WeChat et a découvert des failles de sécurité potentielles. Avec plus d'un milliard d'utilisateurs se connectant chaque mois, WeChat utilise une version personnalisée du protocole Transport Layer Security (TLS) 1.3, appelé MMTLS.

Le chiffrement de WeChat est organisé en deux couches :

1. Cryptage de la couche commerciale : Cryptage du contenu en clair
2. MMTLS : crypte davantage le contenu déjà crypté avant la transmission

Même avec ces deux couches, les chercheurs ont rencontré quelques problèmes :

• Le chiffrement de la couche commerciale laisse d'importantes métadonnées non protégées, comme les identifiants des utilisateurs et les URI des requêtes.
• MMTLS utilise des vecteurs d'initialisation (IV) déterministes, ce qui va à l'encontre des pratiques cryptographiques recommandées.
• Il n'y a pas de forward secrecy, ce qui est essentiel pour assurer la sécurité à long terme.

Avant 2016, WeChat n'utilisait que le chiffrement de la couche commerciale pour ses demandes. L'ajout de MMTLS était censé corriger la situation. Cependant, même si l'application est devenue plus sûre en rendant le chiffrement interne plus difficile à attaquer, les chercheurs affirment qu'elle n'est toujours pas conforme aux normes cryptographiques modernes pour une application de cette taille.

Le rapport met en évidence un problème plus important sur la scène technologique chinoise : les développeurs construisent souvent leurs propres systèmes de cryptage au lieu d'utiliser des protocoles bien connus comme TLS 1.3 ou QUIC, et ces systèmes maison sont généralement moins sûrs.

Citizen Lab pense que Tencent (la société mère de WeChat) devrait passer à une configuration TLS standard ou utiliser une combinaison TLS et QUIC pour améliorer sa sécurité.