WhatsApp est-il fiable ou espionne-t-il ses utilisateurs?

WhatsApp est-il fiable ou espionne-t-il ses utilisateurs?
6 images
WhatsApp est-il fiable ou espionne-t-il ses utilisateurs? - © JUSTIN SULLIVAN - AFP

Alors que les internautes européens s'apprêtaient à immortaliser la tempête de l'année vendredi dernier, c'est un autre coup de tonnerre qui a finalement secoué la toile: la messagerie instantanée WhatsApp aurait volontairement laissé une "porte dérobée" dans son application afin (de permettre à un tiers?) d'accéder aux messages cryptés des utilisateurs. C'est en tout cas ce qu'affirmait "The Guardian".

Inviolable, vraiment?

Dans son article, le quotidien britannique mettait en doute la protection par "chiffrement généralisé" des messages échangés sur sa plateforme. En clair, lorsque A envoie un message à B, ce message est chiffré sur le téléphone de A et n'est déchiffré qu'une fois arrivé sur le téléphone de B. C'est le système des doubles-clefs de codage, une à l'envoi, l'autre à la réception. Impossible donc à qui que ce soit d'autre de connaître le contenu des messages, théoriquement. Car pour que le chiffrement s'avère efficace, il faut que les deux utilisateurs aient validé la clé de leur correspondant. Une manipulation qui confirme au logiciel que l’interlocuteur est effectivement celui qu’il prétend être. Et là se situerait la "faille".

The "backdoor", la porte dérobée

Pour valider son hypothèse de "faille", le journal s'appuie sur une étude de Tobias Boelter, un chercheur en cryptographie et sécurité de l'université de Californie à Berkeley. "Il existe une 'porte dérobée' permettant d'avoir accès aux conversations cryptées du milliard d'utilisateurs que compte WhatsApp, alors que ces conversations sont censées être protégées par le chiffrement de bout en bout. Cette porte dérobée permet à WhatsApp de récupérer, lorsque les téléphones sont éteints, des messages cryptés envoyés mais pas encore lus. WhatsApp peut alors les déchiffrer et les envoyer à nouveau au destinataire qui n'est pas informé du changement de chiffrement."

Cette nouvelle opération de cryptage permettrait donc en pratique à WhatsApp d'intercepter et de lire les messages de ses utilisateurs, ajoute le chercheur. Plus grave, "si WhatsApp se voit demander par une agence gouvernementale de révéler ses messages archivés, il peut dès lors tout à fait donner accès (à ces archives) grâce aux changements dans les clés de cryptage", ajoute le chercheur américain.

WhatsApp dément toute intention malveillante

Du côté de chez WhatsApp, on se défend d'offrir "toute porte dérobée vers ses systèmes, car WhatsApp s'est toujours battu et se battra toujours contre toute demande émanant de gouvernements réclamant la création de tels systèmes de surveillance."

Même parmi les experts, on reconnaît la possibilité que possède WhatsApp pour changer les clés de sécurité quand les téléphones sont hors ligne et renvoyer le message sans que les utilisateurs aient connaissance du changement.

Pour Yeri Tiete, informaticien chez Google, "la polémique est largement exagérée. Si la personne avec qui vous communiquez habituellement change de téléphone, la clef de sécurité s'en trouve modifiée. Et WhatsApp a fait le choix de permettre à ses utilisateurs de continuer à envoyer des messages même lorsque la clef n'est plus vérifiée, ce qui arrive très souvent lorsque les gens changent de téléphone ou réinstallent WhatsApp. Cela permet d'éviter que les messages soient transmis dans ces situations. C'est comme pour une maison, un système de sécurité risquerait de vous empêcher d'y entrer. Il faut un juste équilibre."

Un avis partagé par une grande partie de la communauté informatique mondiale. Sur Twitter le chercheur belge Frederic Jacobs a réagi en soulignant qu'il n'y a avait rien de vraiment nouveau à cela. "Bien sûr, si vous ne vérifiez pas vos clés, WhatsApp, Signal ou d’autres ont la possibilité d’intercepter vos communications. C’est pour cela qu’il y a un réglage dans WhatsApp pour obtenir des notifications lorsque la clé des destinataires change."

Comment sécuriser son Whatsapp

Ces mêmes spécialistes considèrent d'ailleurs WhatsApp comme une application relativement sûre, à condition de vérifier ses contacts. D'autant que la manipulation nécessaire afin d'activer cette vérification demeure (très) simple. Il suffit d'accéder aux réglages de l'application; d'entrer dans le sous-menu "compte", puis "sécurité" et d'activer le paramètre "afficher les notifications de sécurité". Cela ne peut faire de mal et vous serez également informé lorsque votre interlocuteur change de téléphone...

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK