Depuis avril 2016, WhatsApp se targue de protéger les communications de ses utilisateurs grâce au chiffrement de bout-en-bout, le plus renforcé qui soit. À l’ère post-Snowden, c’est un argument marketing qui fait mouche auprès du grand public. Problème, cette protection contiendrait des failles selon Tobias Boelter, chercheur en cryptographie et sécurité de l’université de Californie à Berkeley.
Une faille découverte dans WhatsApp
Dans les colonnes du Guardian, il confie avoir découvert une vulnérabilité dans le protocole de chiffrement de WhatsApp, permettant à Facebook notamment d’accéder aux messages censément chiffrés. Autrement dit, une « backdoor » (porte dérobée introduite volontairement pour permettre à une entité d’accéder à des informations à l’insu de l’utilisateur) se cache dans l’application de messagerie la plus utilisée au monde, un milliard d’utilisateurs au bas mot. Pas si vite.
Sur WhatsApp, le chiffrement des communications est appliqué par défaut. Depuis 2016, l’app a mis en place un chiffrement de bout-en-bout, protocole à doubles clés développé par Open Whisper System, qui développe également l’application de messagerie sécurisée plébiscitée par Edward Snowden, Signal.
Le protocole de chiffrement en question
Les révélations de Boelter se concentrent sur la nouvelle génération de clés échangées (cryptographie asymétrique) entre utilisateurs. Elles servent à chiffrer et déchiffrer leurs conversations tout en s’assurant de l’identité de l’expéditeur. L’expéditeur envoie un message chiffré depuis son téléphone, il transite sur les serveurs de WhatsApp avant d’être envoyé au destinataire seul à même de déchiffrer le message.
Problème, lorsque les téléphones sont éteints, WhatsApp peut, à l’insu de l’expéditeur et du destinataire, intercepter et lire les messages envoyés, mais pas encore lus, les chiffrer avec une nouvelle clé et les renvoyer au destinataire sans qu’il s’en aperçoive. L’expéditeur, lui, sera notifié s’il a activé une option de sécurité (paramètres > Sécurité > Afficher les notifications de sécurité). Sur Signal cette option est activée par défaut.
Une faille connue mais non traitée par Facebook
« Si un gouvernement ordonne à WhatsApp d’avoir accès à des messages archivés, c’est possible grâce à ce changement de clés », estime donc Tobias Boelter.
Du côté de Facebook, on plaide la bonne foi et la facilité offerte à ses utilisateurs. « Nous avons une option “Afficher les notifications de sécurité” qui vous signale que la clé d’un contact a changé. Nous savons que la raison pour laquelle cela arrive le plus fréquemment est parce qu’une personne a changé de téléphone ou a réinstallé WhatsApp. Dans de nombreuses parties du monde, les gens changent fréquemment de téléphone ou de carte Sim », indique la plateforme qui a été avertie de cette découverte en avril 2016. « Lorsque cela se produit, nous voulons être surs que les messages sont transmis, et ne sont pas perdus ».
Pas de vulnérabilité du chiffrement pour WhatsApp
En effet, téléphones éteints, lorsqu’une personne change de téléphone ou de SIM et se reconnecte à WhatsApp, une nouvelle clé lui est attribuée. C’est pendant ce laps de temps que WhatsApp peut théoriquement intercepter et lire les messages envoyés avec l’ancienne clé, les chiffrer avec la nouvelle clé et les envoyer au destinataire choisi, ni vu, ni connu. À charge pour les utilisateurs de vérifier mutuellement leur clé de chiffrement.
Du côté de WhatsApp, on rejette l’idée d’une « porte dérobée vers ses systèmes », tout en réaffirmant avec force que la firme « se battra contre toute demande de gouvernement réclamant la création d’une porte dérobée ».
Concilier sécurité et vie privée est un enjeu majeur pour les géants des nouvelles technologies. Éclaboussés par les révélations d’Edward Snowden sur le système de surveillance et d’écoutes de la NSA, ils se sont lancés (pour la plupart) dans une course au chiffrement plébiscité par leurs utilisateurs, mais décriés par les autorités. L’année dernière, la bataille médiatique entre Apple et le FBI en fut une illustration criante, tout comme le blocage de WhatsApp au Brésil pour avoir refusé de coopérer avec les autorités.
Une polémique excessive ?
Malgré tout, pour nombre d’experts, cette nouvelle polémique reste excessive. Le Monde rapporte ainsi les propos de Moxie Marlinspike, « l’un des plus grands spécialistes du chiffrement et cocréateur du protocole de Signal » :
« Étant donné le nombre d’utilisateurs de WhatsApp [un milliard d’utilisateurs revendiqués], nous considérons que leur choix d’afficher une notification qui ne bloque pas l’envoi de messages est approprié. Cette approche combine une technologie transparente et sûre de protection de la confidentialité des messages avec une expérience utilisateur simple. Le choix de rendre ces notifications bloquantes [empêcher l’envoi de messages tant que la nouvelle clé n’a pas été vérifiée] rendrait les choses pires d’une certaine manière. Cela occasionnerait une fuite d’informations sur les personnes qui ont ou n’ont pas activé les notifications de sécurité, ce qui permettrait de déterminer quels sont les utilisateurs qui peuvent être vulnérables à une attaque »
Le meilleur moyen de s’assurer d’un bon chiffrement de ses communications est encore de vérifier les clés utilisées par chaque interlocuteur et par la même leur identité.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
“Problème, lorsque les téléphones sont éteints, WhatsApp peut, à l’insu
de l’expéditeur et du destinataire, intercepter et lire les messages
envoyés…”
Et comment, FB/WhatsApp peut-il lire des messages chiffrés de bout en bout ?
– les messages ne sont chiffrés que par FB et non pas par le téléphone ?
– FB connait les clés secrètes des utilisateurs ?
Trop fort !
relis l’article…
Quitte à prendre le temps de répondre, autant donner la réponse plutôt que ce commentaire qui ne sert à rien ?
récup’ de données, pas forcément pour les autorités..!
n’oubliez pas que quand c’est gratuit, c’est vous le produit et FB est un des fer de lance de la récupération de données personnelles, à des fins commerciales..!
Mais qu’es ce qu’il faut être abruti et crédule pour croire qu’ils n’utilisent pas les données perso.
Sans déconner, en 2017, plus de 10 ans après le boom de facebook et de toutes les révélations attachés !
Et sans parler du business, toutes ces boites ont signés un Patriot Act !