Cryptage des messages sur WhatsApp : une sûreté sans failles?

Plus d'une personne sur quatre dans le monde est inscrite sur l'application de messagerie WhatsApp. Avec ses deux milliards d'utilisateurs, elle se place entre Facebook et Instagram (propriété de Facebook, tout comme Instagram rachetée en 2014) au classement du nombre d'utilisateurs.

Depuis 2016, les conversations sont cryptées systématiquement entre les utilisateurs. Cela signifie que les messages que vous envoyez ne pourront pas être lus par des tiers hors de la conversation entre vous et votre/vos interlocuteurs. Même les gestionnaires de WhatsApp ne sont, théoriquement, pas en mesure de vérifier vos conversations. Cette discussion cryptée se résume donc à deux personnes parlant une "langue" qui est propre à leur conversation et que personne d'autre ne pourra comprendre, c'est ce que l'entreprise appelle "chiffrement de bout en bout". Mais ce cryptage est-il vraiment sans failles ?

Le cas de Théo Hayez

Cette règle du chiffrement peut poser problème dans des cas où les conversations mèneraient à des objectifs malveillants et/ou illégaux, ou encore afin de retrouver une personne disparue qui utilisait le service de messagerie. La garantie de sécurité doit donc faire quelques exceptions : "Nous examinons, validons et répondons avec attention aux requêtes des forces de police en se basant sur les lois et politiques applicables, et nous donnons la priorité aux demandes d'urgence".

Les situations se règlent au cas par cas, comme lors de la disparition de Théo Hayez en 2019. Le jeune belge disparu en Australie en juin 2019 avait utilisé ce service de messagerie le soir de sa disparition. Le père et la sœur de Théo avait alors demandé aux services de l'application de fournir d'autres données afin d'aider les enquêteurs. La compagnie avait accepté de partager des informations : "Whatsapp attache énormément d’importance à la sécurité de ses utilisateurs. Nous comprenons l’intérêt de l’enquête en cours et fournirons l’assistance requise aux autorités, conformément à la loi et à nos conditions d’utilisation". Les messages ne peuvent pas être affichés car ceux-ci sont protégés, mais l'adresse IP, le nom d'un utilisateur et une possible localisation peuvent être fournis.

WhatsApp a des obligations légales lors d'une procédure judiciaire, mais aussi vis-à-vis de ses utilisateurs. Comme le souligne Olivier Bogeart de la Computer Crime Unit : "En acceptant les conditions d'utilisations, la personne accepte de se soumettre si besoin à une enquête". 

La sûreté de nos conversations est plus cruciale que jamais

Un moyen de couper court à ce chiffrement est simplement la saisie du téléphone par la justice afin d'en lire les données. Si l'on se place à un bout de la chaîne, il n'est plus nécessaire de s’immiscer au milieu. Un magistrat fera donc une demande de saisie de téléphone si la personne est localisée.

Cependant, si la personne n'est pas localisable, la situation se complique et il faut entamer des démarches auprès de la société détenant l'application. Le Parquet Fédéral explique : "C'est assez compliqué d'obtenir des informations de la part de WhatsApp malheureusement". La collaboration avec ce géant américain peut ressembler à une cause perdue, même si parfois, une réaction positive et des informations de la part de l'entreprise californienne arrivent, comme lors des recherches pour retrouver Théo Hayez en juin 2019. 

Après le piratage de mai 2019, la sécurité du chiffrement a été quelque peu mis en doute. Dans son communiqué annonçant deux milliards d'utilisateurs, l'application se défend d'ailleurs : "Un chiffrement solide est une nécessité de la vie moderne. Nous ne ferons aucun compromis sur la sécurité car cela pourrait exposer nos utilisateurs à certains dangers. Pour encore plus de protection, nous travaillons aux côtés d'experts en sécurité, utilisons une technologie de pointe pour empêcher les abus et fournissons des moyens pour signaler les problèmes, le tout sans rogner sur la confidentialité".

D'autres failles apparaissent succinctement, comme début février. Cette sécurité est-elle donc réellement fiable ? Aussi bien pour les utilisateurs que pour les autorités voulant empêcher des activités malveillantes.

Dès qu'une faille de sécurité apparaît sur WhatsApp, des pirates s'engouffrent dans celle-ci pour installer des logiciels malveillants afin d'extraire un maximum de données. Les hackers sont à l’affût de la moindre brèche, ce qui donne lieu à de nombreuses alertes pour demander aux utilisateurs de mettre à jour leur version de l'application. Il est important de surveiller la source d'un message que vous recevez ainsi que son contenu.

L'entreprise américaine continue de donner un maximum d'importance à la sécurité de son application, même si des fuites sont toujours possibles. Sur son blog, WhatsApp conseille ses utilisateurs afin de ne pas prendre de risques ou tomber sur des messages malveillants qui voudraient vos données.