WhatsApp chiffre tout sauf le plus important

Le chiffrement bout à bout de WhatsApp a fait la une des médias. Tout le monde glorifie l’application de passer à ce type de chiffrement, mais quand on lit ces médias, on se rend compte que très peu comprennent la définition de l’expression chiffrement bout à bout. Et malgré ce chiffrement, il y a plusieurs failles qui compromettent considérablement la vie privée de l’utilisateur.

Un WhatsApp à jour

WhatsApp propose le chiffrement bout à bout dans sa dernière version et cela signifie que ce chiffrement est uniquement valable si tous vos contacts possèdent une application à jour. À la base, le chiffrement bout à bout concerne uniquement 2 contacts et pour le comprendre, il suffit d’utiliser une solution de PGP avec Kleopatra ou autre pour comprendre que le plus important est l’échange des clés. Dans les pays où WhatsApp est le plus populaire, les fournisseurs proposent les appareils avec WhatsApp qui est déjà installé. Et les utilisateurs ne pensent pas toujours à la mettre à jour. Cela signifie que si vous parlez avec 10 contacts, mais qu’il y en 2 qui ont une version obsolète, alors le chiffrement bout à bout ne fonctionnera pas pour ces 2 contacts.

Mais c’est une faille que WhatsApp corrige automatiquement. L’application vous impose toujours d’utiliser sa dernière version. Après la sortie officielle de la dernière version, WhatsApp incite les utilisateurs à mettre à jour dans les 2 mois qui suivent et la version obsolète WhatsApp ne fonctionnera plus. Donc, c’est un problème, mais qui n’est pas insurmontable.

Les Métadonnées, Gandalf, les métadonnées !

Le chiffrement bout à bout concerne la sécurité des messages entre Mr A et Mr B. Quand le chiffrement est actif, aucune entité tierce ne peut intercepter le contenu entre Mr A et Mr B. Mais sait-on que c’est réellement Mr A et Mr B ? Dans le PGP, ce sont les clés qui permettent de connaitre ces 2 messieurs. Dans le cas de WhatsApp, l’échange des clés est géré en interne. Mais les noms Mr A et Mr B ne sont pas du tout chiffrés. Toutes les informations qui entourent un message sont connues comme des métadonnées et cela concerne votre numéro de téléphone, le nom d’utilisateur de WhatsApp (c’est facultatif) et la date et l’heure du message. Et ces métadonnées sont bien plus importantes que les messages proprement dits, car ils concernent le PII (Personnal Identifiable Information).

Dans les conditions d’utilisation de WhatsApp, on peut lire que l’entreprise collecte la date et l’heure des messages selon les obligations judiciaires. Une façon de dire : Ouais, vos messages sont chiffrés, mais on peut dire au gouvernement que c’est vous qui l’avez envoyé et quels sont les contacts qui l’ont reçu. Supposons que la DGSE connait un Mr Terroriste. Il le surveille et Mr Terroriste vous envoie un message. Donc, vous, Mr Innocent, répondez à Mr Terroriste. Étant donné que les métadonnées sont en clair, alors la DGSE saura que Mr Terroriste vous a contacté et il n’a pas besoin de plus pour déterminer qu’il y a peut-être quelque chose de louche. Si la DGSE met la main sur le téléphone de Mr Terroriste, vous êtes foutu, si le téléphone de Mr Terroriste se fait voler par Mr Voleur, alors vous êtes foutu.

Le cas de l’application Signal est différent. En premier lieu, l’application est Open Source, donc, on peut vérifier qu’il ne magouille pas quelque chose. Mais même Signal ne chiffre pas les métadonnées, car c’est très difficile. Et de toute façon, ce n’est pas important puisque Signal ne stocke aucune métadonnée sur ses serveurs contrairement à WhatsApp.

La confiance n’existe pas dans le chiffrement bout à bout

On l’avait déjà dit dans notre comparatif entre Telegram, WhatsApp et Signal que la confiance n’existe pas dans le chiffrement bout à bout. Dans ce dernier, vous faites uniquement confiance à vos contacts pour qu’ils soient suffisamment intelligents pour protéger leurs données. Dans le cas de WhatsApp, iMessage et les autres, vous leur faites d’abord confiance pour qu’ils envoient votre message à vos destinataires. Et c’est déjà un intermédiaire de trop. Der Spiegel arrive à la même conclusion. Il estime que même si WhatsApp utilise le protocole de chiffrement de Signal, cette implémentation n’est pas Open Source. Les chercheurs en sécurité ne peuvent pas aller sur les serveurs de WhatsApp pour voir s’il n’y a pas un Backdoor qui traine quelque part en sachant que Facebook, le propriétaire de WhatsApp, est friand de ce type de mécanisme.

Et il y a d’autres risques de sécurité. On sait que la plateforme Android est une vraie poubelle. Si vous utilisez Whatsapp, alors vous verrez souvent des messages de spam et de liens de téléchargement douteux que vous recevrez de la part de vos contacts. Cela signifie que leurs téléphones ont été infectés. S’il y a des Malwares qui interceptent les touches des claviers tactiles ou physiques, alors votre chiffrement bout à bout ne servira strictement à rien.

Le point important à comprendre est qu’une vraie sécurité n’est pas juste de lire une annonce qui vous prétend que vos communications sont chiffrées. Vous devez comprendre le chiffrement et vous assurer qu’il respecte parfaitement les normes. On voit de plus en plus que le chiffrement est devenu le nouveau pot de miel marketing des grosses entreprises pour faire croire qu’elles protègent leurs utilisateurs. Quand on a collaboré pendant des années avec des agences pratiquant la surveillance de masse, on rachète une virginité comme on peut.

Que vous utilisiez WhatsApp, Telegram ou Signal, il faut toujours garder à l’esprit que l’anonymat et la protection de la vie privée absolue n’existe plus avec la technologie actuelle. Et si un jour, Facebook Messenger annonce avec fracas qu’il utilise le chiffrement bout à bout, alors rappelez-vous que l’espionnage de Facebook Messenger est pire que celui de la NSA.

---

Mes livres

Le Basilic de Roko	Mon parcours de rédacteur web	Science corrompue et servile	Nous, Tueurs en série