Selon la documentation du projet open-source « Device Activity Tracker » publiée sur GitHub, et basée sur la recherche « Careless Whisper » (Université de Vienne & SBA Research), un PoC démontre comment exploiter des accusés de réception silencieux pour déduire l’activité d’un appareil sur WhatsApp et Signal.

🔍 Fonctionnement et portée: L’outil mesure le Round-Trip Time (RTT) des accusés de réception pour distinguer un appareil actif (RTT faible) d’un appareil en veille/standby (RTT plus élevé), détecter de possibles changements de réseau (données mobiles vs Wi‑Fi) et tracer des patterns d’activité dans le temps. Une interface web affiche en temps réel les mesures de RTT, l’état détecté et l’historique.

🧪 Technique d’exploitation: Le tracker envoie des probes vers des IDs de messages inexistants et mesure le délai jusqu’au CLIENT ACK (Status 3) comme RTT. Deux méthodes sont supportées: Delete (par défaut) et Reaction. La détection repose sur un seuil dynamique calculé à 90% de la médiane des RTT; les valeurs en dessous indiquent un usage actif, au-dessus un mode veille. Les mesures sont historisées pour adapter la médiane aux conditions réseau.

🖥️ Plateformes et usage: Le backend supporte WhatsApp et Signal (CLI uniquement WhatsApp). Une interface web permet de lancer le backend/frontend, se connecter via QR code à WhatsApp, puis saisir un numéro cible à suivre. Des dépendances Node.js et npm sont requises. Le projet est fourni sous licence MIT et s’appuie sur @whiskeysockets/baileys.

🛡️ Implications et mitigations mentionnées: Le projet illustre une vulnérabilité de vie privée pouvant servir à la surveillance. La mesure proposée est d’activer « Block unknown account messages » dans WhatsApp (Settings → Privacy → Advanced), ce qui peut réduire les probes volumétriques d’inconnus, sans empêcher totalement l’attaque. Les read receipts n’aident pas contre cette technique. Au décembre 2025, la vulnérabilité demeure exploitable sur WhatsApp et Signal. Des avertissements éthiques/légaux sont fournis (usage recherche uniquement; ne pas traquer sans consentement; données d’auth locales).

IOCs et TTPs:

  • TTPs: mesure des RTT d’accusés de réception; probes via requêtes Delete/Reaction sur IDs inexistants; corrélation RTT→état appareil (actif/veille) et changement de réseau; seuil dynamique à 90% de la médiane; utilisation de @whiskeysockets/baileys; authentification par QR code WhatsApp.
  • IOCs: non fournis.

Type d’article et objectif: il s’agit de la publication d’un outil PoC démonstratif dont le but est d’illustrer une vulnérabilité de confidentialité dans des messageries chiffrées.

🔗 Source originale : https://github.com/gommzystudio/device-activity-tracker