Whatsapp est une application de chat très populaire que tous les utilisateurs adorent et que 99,55 % des administrateurs de sécurité détestent. Les utilisateurs l’adorent car une couche de cryptage supplémentaire leur assure la confidentialité, les administrateurs de sécurité la détestent en raison de cette même couche de cryptage supplémentaire qui aveugle leurs outils de sécurité. Cela dit, à ce jour, il n’est pas possible d’inspecter le trafic Whatsapp, mais nous sommes en mesure de le manipuler un peu et d’atténuer certains des problèmes.
Tout d’abord, le scénario à l’esprit est un ordinateur de bureau/ordinateur portable utilisant l’application Whatsapp traditionnelle ainsi que la version du navigateur car les deux fonctionnent de la même manière et cela semble être une préoccupation commune liée à l’exfiltration de données et à la productivité.
Si vous avez besoin de bloquer complètement ce trafic, ajoutez simplement une règle Cloud App Control pour la collaboration et les réunions en ligne, car Zscaler Internet Access fournit une application prête à l’emploi :
Si vous avez besoin d’appliquer des contrôles plus granulaires, continuez à lire…
Un mythe lié à Whatsapp est qu’il épingle le certificat pour protéger son chemin de communication, mais ce n’est pas vrai. Si nous activons l’inspection SSL pour ce trafic (*.whatsapp.com et *.whatsapp.net), l’application ne s’arrêtera pas et une certaine visibilité sera révélée :
Les deux premières URL des captures d’écran ci-dessus sont presque identiques et fournissent quelques détails utiles :
media-gru1-2.cdn.whatsapp.net : La section hôte définit comment le CDN peut être atteint ;/mms/image/ : ce chemin définit le type de média auquel on accède ;
Le reste identifie le contenu et qui y accède. Pas vraiment important pour le moment.
Ainsi, si un utilisateur essaie d’accéder ou d’envoyer une image à un autre collègue ou groupe, il s’appuiera toujours sur une URL qui contient *.cdn.whatsapp.net/mms/image/* .
Pas si vite. Jetez un œil aux troisième et quatrième URL :
media-gru1-2.cdn.whatsapp.net/mms/image/-dziiqhafoybdg0hu-baqudxksxhpkdcypr_jjtnuxe=?auth=AWQTDCVuxU6gcdQgkl9R2N4G8-NhTiK-YBZRxfNTE0-0422q4Y6r05rSGpk&token=-dziIqHafoyBdg0hU-baqUDXKsxhpkdCyPR_JjtNUXE=&resume=1
Même hébergeur mais où se trouve le préfixe de chemin /mms/image/ ? Ouais, pas de préfixe et c’est toujours une URL utilisée pour référencer une image. Mais tout n’est pas perdu, notez la balise mms-type=image à l’intérieur du chemin. Cela identifie également le média comme une image.
En bref, si vous avez besoin de contrôler les images, autorisez/bloquez les urls contenant le chemin *.cdn.whatsapp.net/mms/image/ et le mot-clé mms-type=image&__wa-mms=. Pourquoi ajouter le &__wa-mms ? Cela réduira la probabilité que d’autres URL contiennent notre mot-clé magique.
Cette technique peut être étendue pour contrôler non seulement les images mais presque* tous les médias utilisés sur Whatsapp :
| Type de support | URL | Mot-clé |
|---|---|---|
| l’audio | .cdn.whatsapp.net/mms/ptt/ | mms-type=ptt&__wa-mms= |
| Document | .cdn.whatsapp.net/mms/document/ | mms-type=document&__wa-mms= |
| Image | .cdn.whatsapp.net/mms/image/ | mms-type=image&__wa-mms= |
| Autocollant | .cdn.whatsapp.net/mms/sticker/ | mms-type=autocollant&__wa-mms= |
| Vidéo | .cdn.whatsapp.net/mms/video/ | mms-type=vidéo&__wa-mms= |
En pratique, vous pouvez créer une catégorie d’URL personnalisée pour toutes les URL ci-dessus et les bloquer toutes d’un seul coup :
Ou vous pouvez souhaiter des contrôles plus précis et créer une catégorie d’URL personnalisée pour chaque type de média :
Enfin, appliquez les catégories d’URL souhaitées dans une politique de filtrage d’URL et c’est tout :
Et encore une chose (cool) : nous pouvons également manipuler la méthode de requête http ! Pourquoi est-ce important? Vous pouvez traiter un cas d’utilisation dans lequel vous autorisez un utilisateur à afficher toutes les images, mais ne pourrez en envoyer aucune. Nice n’est-ce pas?
Étape bonus : Les appels audio et vidéo fonctionnent sur 3478/UDP. Si vous bloquez ce port, tous les appels ne seront pas établis.
Remarque finale : Les médias tels que l’emplacement et les contacts sont envoyés sous forme de texte au chat et l’application le restituera sous la forme d’une carte ou d’une belle icône. Je n’ai pas essayé le paiement, si cela vous intéresse, contactez-moi pour m’envoyer de l’argent et nous pourrons analyser son comportement ensemble… ;D
