Une investigation dirigée par plusieurs procureurs généraux aux États-Unis accuse Google d'avoir omis le fait que les conversations WhatsApp sauvegardées sur Drive n'étaient pas chiffrées de bout en bout. Cela pose évidemment un souci pour la confidentialité de vos messages. En réaction, la multinationale a tenu à se défendre.
C’est un bien sombre tableau de Google qui nous est dressé là. Des procureurs généraux américains accusent la multinationale de plusieurs violations des règles antitrust. En d’autres termes, l’entreprise est soupçonnée de s’être livrée à de nombreuses pratiques anticoncurrentielles et, dans ce cadre-là, un document accablant a été publié (PDF). Il est question, entre autres, de la confidentialité de vos conversations WhatsApp sauvegardées sur Google Drive.
Pour rappel, depuis 2015, les utilisateurs Android peuvent enregistrer sur Google Drive une copie de leurs conversations WhatsApp. Cela inclut les messages, mais aussi les photos et vidéos partagées avec ses contacts. Il s’agit d’une fonction très pratique lorsqu’on veut changer de smartphone sans perdre toutes ces données sur l’application. Ainsi, les équipes de Google et WhatsApp avaient mis en avant le fait que ces backups étaient chiffrés pour rester privés.
Un discours « pas tout à fait exact »
Or, les 17 procureurs généraux signataires de la plainte contre Google citent un mémo diffusé en interne en 2016 qui vient remettre en question la confidentialité des données WhatsApp sauvegardées sur Drive. Le mémo en question expliquerait ainsi que « le discours actuel de WhatsApp autour du chiffrement de bout en bout n’est pas tout à fait exact ».
WhatsApp indique actuellement que toutes les communications via son produit sont chiffrées de bout en bout, avec des clés que seuls les utilisateurs possèdent. Ils ont omis de préciser que les données partagées depuis WhatsApp vers des services tiers ne bénéficient pas de la même garantie. Cela inclut les sauvegardes sur Google Drive.
La note interne avait pourtant pour objectif de rendre cette information plus transparente puisqu’elle affirme notamment l’importance de faire en sorte que « les utilisateurs sachent que lorsque les fichiers multimédias WhatsApp sont partagés avec des tiers tels que Drive, les fichiers ne sont plus chiffrés par WhatsApp ».
Mensonge par omission
Toutefois, selon les plaignants, « Google n’a rien fait pour corriger ce malentendu. Au contraire, il a omis de divulguer ces informations pertinentes à ses clients, avec l’intention de continuer à recruter plus d’utilisateurs de Google Drive ». L’article de blog publié un an avant, en 2015, prétendait même que les sauvegardes étaient privées.
Google a également dissimulé le fait qu’il pouvait accéder aux communications WhatsApp des utilisateurs. Normalement, les utilisateurs peuvent se connecter à leur compte Google Drive et consulter les fichiers qu’il contient. Mais selon un mémo interne de Google, Google sauvegardait de manière « opaque » les messages WhatsApp des utilisateurs sur Google Drive. Par conséquent, les utilisateurs ne pouvaient pas se connecter à Google Drive pour découvrir que Google avait accès à leurs communications WhatsApp déchiffrées.
Pour les procureurs généraux, cela ne fait aucun doute : les dissimulations de Google au sujet de la confidentialité des messages WhatsApp sauvegardés « ont entraîné une augmentation de la demande pour le service de sauvegarde de Google. Les utilisateurs ont rapidement souscrit à la sauvegarde des communications WhatsApp sur Google Drive ».
Le document affirme ainsi qu’en juin 2016, environ 434 millions d’utilisateurs de WhatsApp avaient sauvegardé environ 345 milliards de fichiers WhatsApp sur Google Drive et qu’en mai 2017, Google Drive avait gagné environ 750 millions de nouveaux comptes de sauvegarde WhatsApp.
L’application ne ment pas
La conclusion est sèche. « En bref, Google n’avait aucun problème à violer la vie privée de près d’un milliard d’utilisateurs si cela l’aidait à développer son activité. » Nul doute que la firme de Mountain View préparera sa défense pour nier ces accusations. Notez d’ailleurs que dans l’application WhatsApp, dans les paramètres de sauvegarde, il est précisé que « les messages et médias sauvegardés dans Google Drive ne sont pas protégés par le chiffrement de bout en bout de WhatsApp » (voir photo de Une).
Il est possible que cette précision ait été ajoutée quelques années après le déploiement de la fonction de sauvegarde. Par ailleurs, pour se défendre des accusations, Google tient à souligner trois points. D’une part, l’entreprise explique que « Google Drive n’a pas modifié et n’a jamais modifié le statut de cryptage des données WhatsApp ». « De plus, toutes les sauvegardes WhatsApp sur Google Drive sont cryptées avec la même protection de cryptage standard que celle fournie à tous les utilisateurs de Google Drive. » Enfin, « avant 2018, les sauvegardes WhatsApp sur Google Drive étaient décomptées de la limite de stockage des données Drive d’une personne. Comme cela a été largement rapporté à l’époque, en 2018, Google et WhatsApp ont conclu un accord pour arrêter de compter les sauvegardes WhatsApp dans la limite de stockage de données Drive d’une personne ».
NB. Cet article a été mis à jour après publication pour intégrer les réactions de Google.
Pour aller plus loin
WhatsApp va vous aider à passer d’un iPhone à un smartphone Android
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
[…] Google specifies that the data ” remain protected throughout the transfer process, so that no one else can ever access your WhatsApp information and files “. A precision that takes on a whole new meaning after recent revelations.on the non-encryption of WhatsApp backups on Google Drive. […]
[…] qu’ils estiment anticoncurrentielles. C’est dans le cadre de cette affaire que des mensonges par omission au sujet des sauvegardes WhatsApp sur Drive ont été évoqués, mais ce n’est que la pointe de […]
[…] la plainte contre Google des procureurs en question, repérée par Frandroid, une note interne de Google est citée. Celle-ci est problématique puisqu’elle affirme que […]
et c'est comme ça ( comme tu disais) qu'il y a des chantages et que ça peut détruire une personne physiquement et moralement :(
Toi peut-être, mais beaucoup tiennent ce genre de raisonnement, croyant ne rien craindre...
ne t'inquiete pas c'est ironique ! je n'ai aucune photo de ce genre sur mon téléphone !
Ce qu'il faut espérer, c'est surtout qu'il ne les revende pas ou ne fasse pas de chantage avec.
Bon ben j'espere que personne ne tombera sur mes images coquines quand je me ferais hacker mes conversations ! Sinon ben le hacker sera content , il n'aura pas fait ça pour rien
Visiblement, c'était déjà le cas en janvier 2019 : https://blog.witness.org/2019/01/how-to-back-up-whatsapp/
La question c'est surtout : "affichée depuis combien de temps ?".
L'information est bien affichée dans la configuration des sauvegardes WhatsApp, sur Android. https://uploads.disquscdn.com/images/1364e6aa7102fb0034334cb16a859d84a0f00e4d8de2df06e220cfe9a14eb228.png
En bref, Google n'a pas menti et n'est pas fautif. Le "tort" vient à WhatsApp qui enregistre en clair dans Google Drive. Next. Et même WhatsApp prévient que c'est en clair. Du coup, ils ne sont pas en tort non plus.
Quoi comment ça ? Google le géant de la tech qui fait son beurre grâce à nos informations personnelles aurait menti et les backups ne sont finalement pas chiffrés ? Impensable ! 😱
C'est complètement absurde. C'est un fait bien connu et documenté depuis des années que le chiffrement de bout en bout ne s'étend pas aux sauvegardes. WhatsApp vient d'ailleurs de communiquer abondamment sur le fait qu'ils rendaient seulement disponibles le chiffrement que ce périmètre maintenant. Quant aux sauvegardes WhatsApp dans Drive, elles sont en effet invisibles, mais c'est comme les autres sauvegardes faites par Android dans Drive (pour éviter que les utilisateurs trifouillent dedans puis s'étonnent que la restauration ne fonctionne pas ?). Bref, les deux entreprises n'ont peut-être pas abondamment communiqué sur la chose (et encore : c'est explicitement affiché, voir le screenshot joint), mais là c'est de la mauvaise foi.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
Gérer mes choix