#Investigation : nos téléphones lisent-ils ce qu’on écrit ?

Arrêtons tout de suite le suspense : le test n’a donné aucun résultat probant. Pas de publicité pour des huiles essentielles qui soignent la migraine, ni de promo sur les cannes à pêche en vue. "Aucune étude n’a pu démontrer que nos messages sont lus", confirme Jean-Noël Colin, professeur de cybersécurité à l’UNamur. Pourtant, il le dit lui-même, "techniquement, c’est possible". En effet, quand vous envoyez un message à quelqu’un, votre message passe par les serveurs de la plateforme pour être ensuite transféré au destinataire. Si le message n’est pas chiffré – nous reviendrons plus tard sur cette notion, quelqu’un qui intercepterait ce message sur les serveurs pourrait le lire tel qu’il a été envoyé.

Pourtant, vu le nombre d’expériences vécues par beaucoup d’entre nous, le doute persiste. Certaines phrases sont d’ailleurs troublantes quand on lit l’onglet "Politique d’utilisation des données" de Facebook : "Nous recueillons le contenu, les communications ainsi que d’autres informations que vous fournissez […] ou lorsque vous communiquez avec d’autres personnes ou leur envoyez des messages".

Ici, tout est gratuit parce que vous acceptez d’être vendu. C’est vous qui êtes vendus, ce sont vos données.

Cela veut-il dire que Facebook lit nos messages ? "Il faut se poser la question : 'Comment se fait-il que c’est gratuit ?', souligne Cécile de Terwangne, professeur à la Faculté de Droit de l’UNamur. Comment peut-on communiquer à travers le monde, envoyer des photos, des vidéos… et que ce soit totalement gratuit ? L’argent doit évidemment venir de quelque part". En réalité, comme l’explique Cécile de Terwangne, c’est gratuit parce que nous acceptons d’être vendus. Nous sommes les produits, ce sont nos données qui sont vendues. Ces données sont récoltées pour mieux nous connaître, mieux nous cerner. "Et pour ça, Facebook lit vos messages", affirme la professeure de droit.

Cette politique d’utilisation des données, lorsque vous créez un compte sur Facebook, vous y consentez. Vous marquez votre accord, probablement sans avoir lu ce que ça impliquait. Mais le résultat est là : puisque vous avez consenti, Facebook a le droit de faire tout ce qui est annoncé comme usage, et c’est parfaitement légal.

Si la confidentialité de vos échanges vous inquiète, il existe cependant un moyen infaillible de s’assurer que vos messages ne soient lus que par la ou les personnes à qui vous les envoyez : le chiffrement de bout-en-bout.

Le principe du chiffrement est simple : le contenu est transformé de manière à le rendre illisible, sauf pour ceux qui possèdent la clé de déchiffrement. Et dans le cas du chiffrement de bout-en-bout, seuls l’émetteur et le destinataire du message possèdent cette clé. "Même les intermédiaires, par exemple Whatsapp ou Facebook, ne peuvent pas avoir accès au contenu puisqu’ils ne disposent pas de la clé", explique Jean-Noël Colin, professeur de cybersécurité à l’UNamur. Conclusion : si l’on utilise une application qui a intégré cette fonction de chiffrement de bout-en-bout, impossible que nos messages soient lus.

Avec le chiffrement de bout-en-bout, même les intermédiaires comme Whatsapp ou Facebook, ne peuvent pas lire vos messages.

Aujourd’hui, les principales applications de messagerie proposent cette fonction. Mais ce n’est pas toujours automatique. Sur Whatsapp et Signal, tous les messages sont chiffrés. Sur Telegram, les chats secrets sont également chiffrés. Les chats publics, comme leur nom l’indique, ne peuvent par définition pas être chiffrés puisqu’on les partage à tout le monde et non à une personne en particulier. En revanche, sur Snapchat, les snaps sont chiffrés, mais pas les conversations écrites, ni les chats de groupe. Enfin, sur Messenger, le chiffrement est une option qu’on peut activer. Mais il faut le faire séparément pour chaque conversation. C’est d’ailleurs pour cette raison que nous avions choisi de réaliser le test sur Messenger, puisque la plupart des autres applications les plus populaires utilisent le chiffrement par défaut.

Au-delà de savoir si nos applications de messagerie lisent ce qu’on écrit à nos proches, il y a d’autres aspects à surveiller si l’on veut garder une vie privée. En effet, même si le but de Messenger, Whatsapp, Signal ou encore Snapchat est d’envoyer un message, les applications ne se privent pas pour récolter des données sur vous quand vous les utilisez. Et à ce niveau-là, certaines applis sont beaucoup plus gourmandes que d’autres.

Apple a développé un outil intéressant pour cela. Pour chaque application à télécharger dans l’App Store, en plus des mentions légales, de l’aperçu et des notes des utilisateurs, on trouve désormais l’onglet "Confidentialité de l’app". C’est là que vous trouverez une liste des données qui sont récoltées par l’application en question, et dans quel but elles sont récoltées.

On y apprend par exemple que Signal ne recueille que votre numéro de téléphone, la seule donnée dont elle ait besoin pour fonctionner. En revanche, des applications comme Whatsapp et Snapchat sont beaucoup plus gourmandes et récoltent des données plus personnelles comme votre localisation, votre historique d’achats, vos contacts… Et le champion toute catégorie dans les applications de messagerie populaires, si l’on en croit les étiquettes de confidentialité dans l’App Store, c’est Messenger. Dans la liste des données recueillies par l’app de messagerie de Facebook, on retrouve encore plein d’autres données comme votre adresse physique, des données de santé, votre historique de recherche…

Interrogé à ce sujet, Facebook explique que le rapport d’Apple sur la confidentialité des applications manque de contexte et renvoie sans plus de détails vers leur politique de données. Que ces données manquent de contexte ou pas, elles montrent la différence entre une application comme Signal et Messenger au niveau de l’exploitation de vos données. "Le modèle économique de Signal est différent du modèle économique de Messenger qui, lui, a tout intérêt à profiler ses utilisateurs pour pouvoir proposer des publicités les plus ciblées possibles, alors que le modèle de Signal ne se base absolument pas sur ce principe-là", explique Jean-Noël Colin.

Selon une enquête du Washington Post, c’est même parfois dans l’autre sens que les étiquettes de confidentialité manquent de précision. Un journaliste a découvert que certaines applications mentent dans les informations qu’elles transmettent à Apple et omettent certains détails. Ce sont en effet les développeurs eux-mêmes qui doivent compléter leurs fiches.

Lors de notre échange de mail avec Facebook, nous en avons évidemment profité pour les interpeller quant à notre expérience de pubs ciblées liées à la discussion sur les fournisseurs d’électricité. La réponse est claire pour le groupe américain : non, nos messages ne sont pas utilisés à des fins commerciales. Nos messages ne sont pas lus pour scruter nos centres d’intérêt et nous proposer des publicités à ce propos.

Meta précise d’ailleurs que les nouvelles règles européennes en matière de confidentialité ne les autorisent pas à scanner les messages. Seules les images peuvent être scannées, dans le cadre notamment de la lutte contre les contenus pédopornographiques.

Enfin, on ne pouvait pas parler des applications de messagerie et de la protection de nos données sans aborder le projet de loi déposé en octobre 2021 à propos du chiffrement des messages. Le texte provisoire veut obliger les plateformes de messagerie à prévoir une solution, une sorte de porte dérobée pour contourner le chiffrement des messages, dans le cadre par exemple d’une enquête judiciaire. En clair, le gouvernement voudrait que les enquêteurs aient la possibilité de lire les messages chiffrés d’un utilisateur qui serait soupçonné dans une enquête.

Ce texte est fortement critiqué par les experts en cybersécurité, qui y voient carrément la loi la plus dangereuse au sein de l’Union européenne. Le problème, c’est qu’on ne peut pas prévoir quels seront les messages à déchiffrer à l’avenir. Donc on ne peut pas cibler un utilisateur en particulier, il faut installer une porte dérobée pour tous les utilisateurs. Ce qui est un risque pour la sécurité globale de ces plateformes.

"C’est comme si j’étais obligé de laisser une clé de ma maison à la police, compare Jean-Noël Colin. Comme ça, si elle suspecte que j’ai des activités illégales, elle vient voir chez moi et a la faculté d’entrer. Mais qu’est ce qui me garantit qu’à un moment donné, les règles du jeu ne vont pas changer ? Ou que la clé que je leur ai confiée ne tombera pas dans des mains malveillantes ?"

Face aux critiques, le gouvernement belge a finalement fait marche arrière et supprimé l’obligation de porte dérobée. Selon le journal flamand De Standaard, le nouveau texte affirme que "pour la sécurité du numérique, l’utilisation du cryptage est libre". Nous aurions voulu confirmer cette information auprès du cabinet du Ministre de la Justice Vincent Van Quickenborne et avoir quelques détails sur les modifications apportées au texte. Le cabinet ne désire faire aucun commentaire pour l’instant. Quoi qu’il en soit, ce nouveau projet de loi a été approuvé en Conseil des Ministres fin décembre 2021 et devrait donc ensuite être examiné à la Chambre.