Vulnérabilité Silent Whisper: suivi WhatsApp et Signal par analyse des métadonnées RTT

Un nouvel outil a fait surface en ligne et met en lumière la vulnérabilité Silent Whisper, capable de suivre l’activité des utilisateurs de WhatsApp et de Signal à partir d’un simple numéro de téléphone. Il ne s’agit ni de forcer des comptes ni de lire des messages : la méthode s’appuie sur l’analyse des réponses techniques générées par ces applications, rappelant à quel point les métadonnées en disent long.

Concrètement, l’attaque repose sur la mesure du délai de réponse des accusés de réception. WhatsApp et Signal répondent automatiquement aux « pings », et un attaquant peut analyser le temps aller‑retour (RTT) de ces paquets. À partir de ces latences, il devient possible d’inférer si un appareil est actif, connecté en Wi‑Fi ou via les données mobiles, en veille, ou totalement hors ligne.

Des chercheurs à Vienne ont détaillé Silent Whisper l’an dernier. L’intérêt a rebondi après la mise en ligne sur GitHub d’un outil de preuve de concept par un utilisateur nommé gommzystudio. Selon son auteur, il serait possible d’envoyer jusqu’à 20 requêtes par seconde sans déclencher de notification sur l’appareil visé, un rythme suffisant pour dresser un portrait assez précis de l’activité d’une personne.

Des images de graphiques d’analyse ont également circulé, montrant comment ces mesures sont interprétées. Les variations de latence trahissent l’état et le mode de fonctionnement de l’appareil, ouvrant la voie à une surveillance discrète sans toucher au contenu des messages — un angle d’attaque discret, souvent sous‑estimé.

Des experts jugent la vulnérabilité toujours d’actualité. À titre de précautions de base, il est conseillé de restreindre les messages provenant d’inconnus et de maintenir les applications de messagerie à jour sans tarder — des gestes pragmatiques qui aident, même s’ils ne suffisent pas, pour l’instant, à éliminer totalement le risque. En attendant, ce sont des garde‑fous utiles.