lun. Juin 5th, 2023

Le service de messagerie suisse troisma pris d’assaut le marché. L’application a plus de 10 millions d’utilisateurs, y compris l’administration fédérale suisse. L’application a été lancée avant 10 années comme alternative à WhatsApp. Threema promettait d’être plus sûr que ses concurrents.

Comme l’ont découvert des chercheurs de l’Ecole Polytechnique Fédérale de Zurich (ETH), ce n’est pas vrai. Sur une période de 6 mois l’année dernière, l’équipe de recherche a examiné la cryptographie utilisée par Threema. La conclusion de l’étude est que le service de messagerie présente de graves lacunes.

Dans l’ensemble, les scientifiques 7 vulnérabilités identifiés. Les cybercriminels pourraient les utiliser comme passerelles pour cloner des comptes, lire des messages ou même voler des contacts, entre autres. « Le cryptage de Threeema a plusieurs années de retard », déclare un professeur de l’ETH Kenneth Paterson à la NZZ.

Threema : les données n’ont jamais été menacées

Threema répond que si les résultats de l’étude peuvent être « intéressants d’un point de vue théorique », ils n’ont « aucune implication pratique significative ».

Également en conversation avec la NZZ, déclare le patron de Threema Martin Blatter, l’étude n’était que « de nature académique ». L’ETH n’a pas été en mesure de prouver que le contenu est accessible via les vulnérabilités. « Les données de nos utilisateurs n’ont jamais été en danger », déclare Blatter.

Nouvelle version pour boucher les trous

troisma surmené peu de temps après son cryptage. On dit que cela devrait éliminer tous les points faibles du service de chat. « L’introduction semble un peu hâtive », est l’évaluation de la NZZ. Et le chercheur de l’ETH Paterson lui-même a déclaré à The Register que l’ancien protocole n’était « mis à jour vers la » nouvelle « version qu’à cause de nos recherches ».

Voir aussi  Apple développe un "dé à coudre" pour les claviers virtuels

Grâce à la révision, les vulnérabilités identifiées dans l’étude ne constituent plus une menace pour les utilisateurs, selon Paterson. Les déclarations de Threema sur la cause, cependant, sont « extrêmement trompeur » été, le chercheur est déçu.