WhatsApp, propriété de Meta, déploie officiellement un nouvelle fonctionnalité de confidentialité dans son service de messagerie appelé « Protect IP Address in Calls » qui masque les adresses IP des utilisateurs aux autres parties en relayant les appels via ses serveurs.
« Les appels sont cryptés de bout en bout, donc même si un appel est relayé via les serveurs WhatsApp, WhatsApp ne peut pas écouter vos appels », a déclaré la société dans un communiqué partagé avec The Hacker News.
L’idée principale est de rendre plus difficile aux acteurs malveillants de l’appel de déduire la localisation d’un utilisateur en relayant de manière sécurisée la connexion via les serveurs WhatsApp. Cependant, l’activation de l’option de confidentialité entraîne une légère baisse de la qualité des appels.
Vu sous cet angle, il s’apparente au iCloud Private Relay d’Apple, qui ajoute une couche d’anonymat en routage des sessions de navigation Safari des utilisateurs via deux relais internet sécurisés.
Il convient de noter que la fonctionnalité « Protéger l’adresse IP lors des appels » est en cours de développement depuis au moins fin août 2023, comme signalé plus tôt par WABetaInfo.
« Une fois cette fonctionnalité activée, tous vos appels seront relayés via les serveurs de WhatsApp, garantissant que les autres participants à l’appel ne pourront pas voir votre adresse IP et en déduire ensuite votre situation géographique générale », a déclaré WhatsApp. dit.
« Cette nouvelle fonctionnalité offre une couche supplémentaire de confidentialité et de sécurité, particulièrement destinée à nos utilisateurs les plus soucieux de leur confidentialité. »
La fonctionnalité s’appuie sur une fonctionnalité de confidentialité annoncée précédemment appelée « Faire taire les appelants inconnus, » qui vise non seulement à protéger les utilisateurs contre les contacts indésirables, mais également à minimiser le risque d’attaques sans clic et de logiciels espions.
La mise en œuvre par WhatsApp des appels silencieux implique l’utilisation d’un protocole personnalisé conçu pour réduire le traitement des données contrôlées par les attaquants en incorporant ce qu’on appelle un jeton de confidentialité.
« Lorsqu’un appel est passé, l’appelant inclut le jeton de confidentialité du destinataire dans le message protocolaire », a expliqué la société. « Ensuite, le serveur vérifie la validité du jeton ainsi que quelques autres facteurs pour déterminer si le destinataire prévu autorise cet expéditeur à l’appeler.
« Il est crucial que, pour la confidentialité de nos utilisateurs, le serveur n’apprenne rien sur la relation exacte entre l’appelant et le destinataire à partir du jeton. Avec notre conception de cette fonctionnalité, l’appel devient un vecteur beaucoup moins attrayant pour les attaquants. »