WhatsApp, la plate-forme de messagerie appartenant à Facebook, est l’une des applications de messagerie les plus populaires au monde. En 2021, plus de deux milliards de personnes l’utilisent et envoient plus de 100 milliards de messages par jour.
La confidentialité a toujours été une caractéristique clé et un argument de vente populaire pour l’application de messagerie WhatsApp. Le cofondateur de l’entreprise, Jan Koum, a grandi en Union soviétique sous une surveillance étroite de la part du gouvernement. En 2014, il a promis de protéger les données des utilisateurs après l’acquisition de WhatsApp par Facebook. Sur fond de désaccord sur la protection de la vie privée, il finira par quitter Facebook en avril 2018 comme avant lui Brian Acton (co-fondateur). Ce dernier a même publiquement appelé sur Twitter à supprimer Facebook ! Dire que la confidentialité est dans l’ADN de WhatsApp, comme l’affirme Facebook, est désormais trompeur, les géniteurs du projets l’ayant quitté en désaccord sur ce sujet.
Voici tout ce que vous devez savoir sur les problèmes de sécurité de WhatsApp.
WhatsApp ne peut pas lire les contenus des messages. En revanche, les métadonnées (information autour du message lui même comme le destinataire, l’expéditeur..) sont accessibles.
WhatsApp est un logiciel propriétaire
Les codes sources des logiciels utilisés ne sont ni libres ni publics (par opposition aux logiciels libres dont le code est accessible). Il faut donc faire confiance à son éditeur qui est le seul capable d’identifier et corriger d’éventuelles vulnérabilités du code. La législation américaine actuelle, à laquelle est soumise WhatsApp, permet d’imposer l’introduction de failles de sécurité ou de backdoor (porte dérobée, permettant le contournement de certaines mesures de sécurité par les autorités d’un pays). On ne peut donc pas confirmer avec certitude si l’application est sécurisée ou pas.
Facebook, son propriétaire, est une régie publicitaire
Facebook base son modèle économique sur la vente de publicités ciblées auprès d’annonceurs. En décembre 2017, la CNIL met en demeure WhatsApp pour transfert illégal de données personnelles vers Facebook sans consentement des utilisateurs. Bien que le cloisonnement des services était une condition du rachat, Facebook opère discrètement par la suite un revirement en annonçant une fusion prochaine des services (Facebook, Messenger, WhatsApp). Face à ce risque Chris Hugues, co-fondateur de Facebook appelle à démanteler la société.
Le chiffrement de bout en bout vulnérable
WhatsApp chiffre de bout en bout les messages envoyés grâce à une clé secrète. Cela signifie que seul votre appareil et celui du destinataire peuvent les déchiffrer. La fonctionnalité empêche vos messages d’être interceptés, lus et/ou modifiés pendant la transmission. Néanmoins, WhatsApp peut intercepter et lire les messages échangés en forçant la génération de nouvelles clés. Les messages sont ensuite chiffrés avec la nouvelle clé et ceux qui n’ont pas été délivrés sont renvoyés. L’expéditeur est prévenu de ce changement uniquement s’il a activé les notifications de sécurité et après que les messages aient été renvoyés. Facebook aurait privilégié la simplicité d’utilisation en permettant d’éviter que des messages ne soient perdus durant l’acheminement (Source – [Fr])
Groupes de discussion
Chaque participant à la discussion recevant automatiquement les clés de chiffrement, lui permettant de lire les messages envoyés suite à son ajout, quiconque dispose d’un accès au serveur peut s’insérer dans un groupe de discussion, et accéder aux conversations chiffrées de bout en bout. Selon Facebook, ce type d’attaque manquerait de discrétion (un message apparaît lors de l’ajout d’un nouveau participant) mais elle est possible. Si votre sécurité est en jeu, n’utilisez pas les discussions de groupe (Explication – [En])
Pas de chiffrement des sauvegardes
WhatsApp ne chiffre pas vos sauvegardes ! Celles-ci peuvent rendre accessibles toutes vos conversations. [Guide sur les sauvegardes]
Enregistrement des médias
Par défaut, l’application enregistre (sans protection) les médias reçus (photos, vidéos) dans la pellicule du smartphone…Il faut donc s’assurer que tous les contacts avec lesquels vous échangez ce type de contenu aient désactivé ce réglages par défaut. Pour cela, demandez leur d’aller dans « Réglages », puis de cliquer sur « Discussions » et enfin de désactiver l’option « Enregistrer dans la pellicule ». Ils refusent ? Cessez d’utiliser Whatsapp avec eux.
Imbroglio des conditions d’utilisation
En janvier 2021, une mise à jour des conditions d’utilisation (non applicable à l’UE) entraîne une fronde sans précédent et la fuite de dizaines de millions d’utilisateurs vers Signal et Telegram. Face au tollé provoqué par ses nouvelles conditions d’utilisation, WhatsApp repousse leur entrée en vigueur de trois mois. Ces dernières prendront ainsi effet en mai, et non plus le 8 février…
Conclusion
Si vous souhaitez quand même utiliser WhatsApp…assurez-vous de désactiver les sauvegardes ( Réglages WhatsApp → Discussions → Sauvegarde → Sauvegarde Auto) et d’activer les notifications de changement d’empreinte (Paramètres → Mon compte → Sécurité et faites glisser vers la droite « Afficher les notifications de sécurité »). Je vous déconseille également d’intégrer des groupes dont vous ne connaissez pas personnellement TOUS les membres.
Si vous cherchez une alternative, je vous déconseille Telegram (bien que l’application soit présentée comme très sécurisée) car leur protocole de chiffrement n’est pas sûr (Lien [En]) et surtout il n’est pas activé par défaut. L’application Signal offre une solution plus respectueuse de la vie privée. Elle dispose d’un annuaire basé sur le numéro de téléphone (la seule donnée collectée). Si cela n’est pas compatible avec votre modèle de risque je vous recommande Jami.
Des questions ? D’accord ou pas d’accord ? Dites-le moi !
Dernière mise à jour : Janvier 2021