WhatsApp, l’application de tous les records, a été la cible de fortes accusations depuis le 13 janvier dernier. The Guardian lui a accordé un article sur une soit-disant affaire de « backdoor » qui mettrait en péril nos messages envoyés avec la messagerie fraichement rachetée par Facebook. Il est temps à présent de démêler le vrai du faux de cette histoire de chiffrement.
Le chiffrement selon WhatsApp : mode d’emploi
Depuis 2016, WhatsApp a opté pour l’ensemble de ses utilisateurs le chiffrement de bout en bout de toutes leurs conversations. C’est-à-dire que lorsqu’un utilisateur envoie un message, celui-ci est chiffré sur son téléphone, passe par les serveurs de WhatsApp et ne se voit déchiffré qu’une fois sur le téléphone de son destinataire. C’est ce qu’on appelle aussi un système de doubles clés, qui se trouve être développé par Open Whispers — Edward Snowden approved –, réputé pour être l’un des plus solides. De cette manière, vous pouvez être sûrs qu’aucune de vos conversations ne peut être interceptée ou du moins être rendue lisible par une tierce personne.
Des accusations un peu trop hâtives ?
C’est vendredi 13 janvier que The Guardian a publié une tribune accusant l’application de messagerie populaire de Facebook d’avoir délibérément laissé une faille de sécurité dans son application. Cette dernière laisserait dans certains cas l’accès à WhatsApp aux messages chiffrés de ses utilisateurs. Le journal a pointé du doigt ce « backdoor », ou porte dérobée, preuve que le protocole d’Open Whisper aurait été quelque peu détourné.
The Guardian explique que l’application pourrait d’elle-même régénérer des clés de chiffrement dans le dos de ses utilisateurs et renvoyer des messages qui n’auraient pas encore été transmis. WhatsApp pourrait donc à ce moment-là accéder à nos conversations et les déchiffrer. Cependant, l’article étant tombé dans plusieurs mains d’experts en chiffrement, il semblerait que The Guardian ait négligé quelques détails de première importance.
Les experts ont parlé
Sur Twitter, le spécialiste et chercheur en chiffrement Frederic Jacobs a expliqué qu’il n’y avait pas de quoi créer une polémique. En effet, et pour reprendre ses propos, « si vous ne vérifiez pas vos clés, WhatsApp, Signal ou d’autres ont la possibilité d’intercepter vos communications.[…] C’est pour cela qu’il y a un réglage dans WhatsApp pour obtenir des notifications lorsque la clé des destinataires change ». En clair, rien de nouveau sous le soleil.
https://twitter.com/FredericJacobs/status/819869917499588608
WhatsApp s’est également justifié à ce propos. Si l’application continue d’envoyer des messages mêmes quand la clé n’est plus vérifiée, c’est pour un choix à priori très clair, celui de permettre aux personnes de continuer de s’envoyer des messages même lorsqu’elles changent de téléphone, de carte SIM ou réinstallent l’application. En gros, WhatsApp favorise la simplicité d’utilisation à la sécurité et encore, dans certaines conditions exceptionnelles seulement.
Le créateur du protocole Signal d’Open Whispers, Moxie Marlinspike, soutient pleinement le système de notification mis en place qui ne bloque pas l’envoi des messages. Il considère en effet que bloquer une telle notification pourrait avoir au final bien plus de vulnérabilité : « Cela occasionnerait une fuite d’informations sur les personnes qui ont ou n’ont pas activé les notifications de sécurité, ce qui permettrait de déterminer quels sont les utilisateurs qui peuvent être vulnérables à une attaque ».
Utiliser WhatsApp, c’est safe ?
Finalement, ce backdoor n’en serait pas un, mais correspond plutôt au fonctionnement du chiffrement sur WhatsApp. L’application de Facebook a par ailleurs répondu qu’elle ne permettrait pas au gouvernement ou un autre service d’accéder à nos messages. Il n’est pas sans rappeler les déboires de la messagerie avec les autorités concernant le terrorisme.
WhatsApp ne conserve en aucun cas des copies de nos messages. De plus, cette « négligence » ne permet pas d’accéder à l’historique des conversations donc il y a peu de chance que nos messages se retrouvent sur écoute…
Même s’il n’y a pas de quoi s’affoler avec le chiffrement de WhatsApp, l’application n’a pas toujours été très rassurante. En effet, la CNIL a tout de même réussi fin 2016 à stopper les échanges de données des utilisateurs européens entre la messagerie et son nouveau propriétaire, Facebook.
Des conseils ?
Il existe bel et bien une option pour « Afficher les notifications de sécurité » qui nous informe lorsque la clé de chiffrement a été changée. Cela vous permet donc de garder un œil là dessus et il est donc bon de l’activer dans l’option sécurité des réglages de votre compte. L’autre conseil qu’on pourrait vous donner — sans doute le meilleur –, c’est de bien vérifier l’identité de ses contacts avant de délivrer des informations sensibles.
https://www.frandroid.com/android/applications/398199_whatsapp-compte-permettre-la-modification-et-la-suppression-des-messages-envoyes
Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !
En tout cas, on verra bien. C'est pas une mauvaise idée d'avoir la possibilité de supprimer des messages après envoi. Il y a pas mal d'applications qui le font dejà, comme le plus nouveau qui s'appelle Squealock (squealock.com).
Les états unis n'espionnent personnes, c'est de la théorie du complot tout ca ^^ Jm'en vais de ce pas te dénoncer pour radicalisme.
Pour OWS, ce n'est pas une backdoor, évidemment. Pour d'autres, si. Mais peu importe, on lui donne le nom qu'on veut. Est-il possible d'usurper l'identité d'un utilisateur en jouant l'homme du milieu? Il semble bien que oui. Le protocole de communication développé par OWS est-il en cause? Non. Whatsapp est-il en cause? Oui, et à plus d'un titre. D'une part parce que c'est Whatsapp qui implémente ce protocole et désactive par défaut les avertissements de sécurité, d'autre part parce qu'aucune correction, ni simplement communication aux utilisateurs n'a été faite depuis des mois que ce problème leur a été remonté.
Ce n'est pas une backdoor justement, c'est un comportement choisi.
Et qui est soumise au Patriot Act, comme les autres.
2 choses: - concernant Whatsapp, le problème essentiel est que les notifications concernant les changements de clé ne sont pas actives par défaut (au moins sur Android). Un man in the middle peut passer inaperçu. Pour une appli qui met le chiffrement de bout en bout, ça fait tâche. - concernant l'"expert": vous voulez que j'écrive ce que je pense d'un gars qui s'intéresse à la sécurité mais pour qui une backdoor ne pose pas de souci?
Facebook ne gère pas le processus de chiffrement de WhatsApp justement, et c'est pour ça qu'on peut lui faire confiance.
En plus c'est Facebook qui gère ça donc pas de quoi s'affoler. C'est pas comme si c'était une société qui revendait des données utilisateurs ^^
T'inquiète pas que Facebook les garde. Tu peux ptetre leur demander directement mais jpense pas qu'ils prendront la peine de répondre ^^
Whatsapp a une option pour sauver l'historique des messages sur Drive (ou peut-être d'autres clouds), mais Whatsapp ne sauve rien sur ses serveurs. Donc pas de quoi s'affoler.
Vos collègues de Numera avaient publié un seul article l'autre jour, alors que vous aviez publié votre article d'alerte. Le leur contenait déjà l'analyse que vous faites seulement aujourd'hui quand au caractère un peu fumeux de cette soit-disant backdoor...
"le backdoor n’aurait pas lieu d’inquiéter selon les experts en chiffrement" kler je ne suis pas inquiet !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix