Depuis le 13 janvier, WhatsApp est accusé par The Guardian d’avoir fermé les yeux sur une vulnérabilité informatique dans son application. D’après les spécialistes du chiffrement, c’est une toute autre histoire.

WhatsApp, l’application de tous les records, a été la cible de fortes accusations depuis le 13 janvier dernier. The Guardian lui a accordé un article sur une soit-disant affaire de « backdoor » qui mettrait en péril nos messages envoyés avec la messagerie fraichement rachetée par Facebook. Il est temps à présent de démêler le vrai du faux de cette histoire de chiffrement.

Le chiffrement selon WhatsApp : mode d’emploi

Depuis 2016, WhatsApp a opté pour l’ensemble de ses utilisateurs le chiffrement de bout en bout de toutes leurs conversations. C’est-à-dire que lorsqu’un utilisateur envoie un message, celui-ci est chiffré sur son téléphone, passe par les serveurs de WhatsApp et ne se voit déchiffré qu’une fois sur le téléphone de son destinataire. C’est ce qu’on appelle aussi un système de doubles clés, qui se trouve être développé par Open Whispers — Edward Snowden approved –, réputé pour être l’un des plus solides. De cette manière, vous pouvez être sûrs qu’aucune de vos conversations ne peut être interceptée ou du moins être rendue lisible par une tierce personne.

Des accusations un peu trop hâtives ?

C’est vendredi 13 janvier que The Guardian a publié une tribune accusant l’application de messagerie populaire de Facebook d’avoir délibérément laissé une faille de sécurité dans son application. Cette dernière laisserait dans certains cas l’accès à WhatsApp aux messages chiffrés de ses utilisateurs. Le journal a pointé du doigt ce « backdoor », ou porte dérobée, preuve que le protocole d’Open Whisper aurait été quelque peu détourné.

The Guardian explique que l’application pourrait d’elle-même régénérer des clés de chiffrement dans le dos de ses utilisateurs et renvoyer des messages qui n’auraient pas encore été transmis. WhatsApp pourrait donc à ce moment-là accéder à nos conversations et les déchiffrer. Cependant, l’article étant tombé dans plusieurs mains d’experts en chiffrement, il semblerait que The Guardian ait négligé quelques détails de première importance.

Les experts ont parlé

Sur Twitter, le spécialiste et chercheur en chiffrement Frederic Jacobs a expliqué qu’il n’y avait pas de quoi créer une polémique. En effet, et pour reprendre ses propos, « si vous ne vérifiez pas vos clés, WhatsApp, Signal ou d’autres ont la possibilité d’intercepter vos communications.[…] C’est pour cela qu’il y a un réglage dans WhatsApp pour obtenir des notifications lorsque la clé des destinataires change ». En clair, rien de nouveau sous le soleil.

WhatsApp s’est également justifié à ce propos. Si l’application continue d’envoyer des messages mêmes quand la clé n’est plus vérifiée, c’est pour un choix à priori très clair, celui de permettre aux personnes de continuer de s’envoyer des messages même lorsqu’elles changent de téléphone, de carte SIM ou réinstallent l’application. En gros, WhatsApp favorise la simplicité d’utilisation à la sécurité et encore, dans certaines conditions exceptionnelles seulement.

Le créateur du protocole Signal d’Open Whispers, Moxie Marlinspike, soutient pleinement le système de notification mis en place qui ne bloque pas l’envoi des messages. Il considère en effet que bloquer une telle notification pourrait avoir au final bien plus de vulnérabilité : « Cela occasionnerait une fuite d’informations sur les personnes qui ont ou n’ont pas activé les notifications de sécurité, ce qui permettrait de déterminer quels sont les utilisateurs qui peuvent être vulnérables à une attaque ». 

Utiliser WhatsApp, c’est safe ?

Finalement, ce backdoor n’en serait pas un, mais correspond plutôt au fonctionnement du chiffrement sur WhatsApp. L’application de Facebook a par ailleurs répondu qu’elle ne permettrait pas au gouvernement ou un autre service d’accéder à nos messages. Il n’est pas sans rappeler les déboires de la messagerie avec les autorités concernant le terrorisme.

WhatsApp ne conserve en aucun cas des copies de nos messages. De plus, cette « négligence » ne permet pas d’accéder à l’historique des conversations donc il y a peu de chance que nos messages se retrouvent sur écoute…

Même s’il n’y a pas de quoi s’affoler avec le chiffrement de WhatsApp, l’application n’a pas toujours été très rassurante. En effet, la CNIL a tout de même réussi fin 2016 à stopper les échanges de données des utilisateurs européens entre la messagerie et son nouveau propriétaire, Facebook.

Des conseils ?

Il existe bel et bien une option pour « Afficher les notifications de sécurité » qui nous informe lorsque la clé de chiffrement a été changée. Cela vous permet donc de garder un œil là dessus et il est donc bon de l’activer dans l’option sécurité des réglages de votre compte. L’autre conseil qu’on pourrait vous donner — sans doute le meilleur –, c’est de bien vérifier l’identité de ses contacts avant de délivrer des informations sensibles.

À lire sur FrAndroid : WhatsApp compte permettre la modification et la suppression des messages envoyés