WhatsApp, l’application est-elle sûre ?

WhatsApp, la plate-forme de messagerie appartenant à Facebook, est l’une des applications de messagerie les plus populaires au monde. En 2019, plus d’un milliard de personnes l’utilisent et envoient plus de 65 milliards de messages par jour.

La confidentialité a toujours été une caractéristique clé et un argument de vente populaire pour l’application de messagerie WhatsApp. Le cofondateur de l’entreprise, Jan Koum, a grandi en Union soviétique sous une surveillance étroite de la part du gouvernement. En 2014, il a promis de protéger les données des utilisateurs après l’acquisition de WhatsApp par Facebook. Sur fond de désaccord sur la protection de la vie privée, il finira par quitter Facebook en avril 2018 comme avant lui Brian Acton (co-fondateur). Ce dernier a même publiquement appelé sur Twitter à supprimer Facebook ! Dire que la confidentialité est dans l’ADN de WhatsApp, comme l’affirme Facebook, est désormais trompeur, les géniteurs du projets l’ayant quitté en désaccord sur ce sujet.

Voici tout ce que vous devez savoir sur les problèmes de sécurité de WhatsApp.

WhatsApp ne peut pas lire les contenus des messages. En revanche, les métadonnées (information autour du message lui même comme le destinataire, l’expéditeur..) sont accessibles.

WhatsApp est un logiciel propriétaire

Les codes sources des logiciels utilisés ne sont ni libres ni publics (par opposition aux logiciels libres dont le code est accessible). Il faut donc faire confiance à son éditeur qui est le seul capable d’identifier et corriger d’éventuelles vulnérabilités du code. La législation américaine actuelle, à laquelle est soumise WhatsApp, permet d’imposer l’introduction de failles de sécurité ou de backdoor. On ne peut donc pas confirmer avec certitude si l’application est sécurisée ou pas.

Facebook, son propriétaire, est une régie publicitaire

Facebook base son modèle économique sur la vente de publicités ciblées auprès d’annonceurs. En décembre 2017, la CNIL met en demeure WhatsApp pour transfert illégal de données personnelles vers Facebook sans consentement des utilisateurs. Bien que le cloisonnement des services était une condition du rachat, Facebook opère discrètement par la suite un revirement en annonçant une fusion prochaine des services (Facebook, Messenger, WhatsApp). Face à ce risque Chris Hugues, co-fondateur de Facebook appelle à démanteler la société.

Le chiffrement bout en bout vulnérable

WhatsApp chiffre de bout en bout les messages envoyés grâce à une clé secrète. Cela signifie que seul votre appareil et celui du destinataire peuvent les déchiffrer. La fonctionnalité empêche vos messages d’être interceptés, lus et/ou modifiés pendant la transmission. Néanmoins, WhatsApp peut intercepter et lire les messages échangés en forçant la génération de nouvelles clés. Les messages sont ensuite chiffrés avec la nouvelle clé et ceux qui n’ont pas été délivrés sont renvoyés. L’expéditeur est prévenu de ce changement uniquement s’il a activé les notifications de sécurité et après que les messages aient été renvoyés. Facebook aurait privilégié la simplicité d’utilisation en permettant d’éviter que des messages ne soient perdus durant l’acheminement (Source – [Fr])

Groupes de discussion

Chaque participant à la discussion recevant automatiquement les clés de chiffrement, lui permettant de lire les messages envoyés suite à son ajout, quiconque dispose d’un accès au serveur peut s’insérer dans un groupe de discussion, et accéder aux conversations chiffrées de bout en bout. Selon Facebook, ce type d’attaque manquerait de discrétion (un message apparaît lors de l’ajout d’un nouveau participant) mais elle est possible. Si votre sécurité est en jeu, n’utilisez pas les discussions de groupe (Explication – [En])

Pas de chiffrement des sauvegardes

WhatsApp ne chiffre pas vos sauvegardes ! Celles-ci peuvent rendre accessibles toutes vos conversations. [Notre guide sur les sauvegardes]

Enregistrement des médias

Par défaut, l’application enregistre (sans protection) les médias reçus (photos, vidéos) dans la pellicule du smartphone…Il faut donc s’assurer que tous les contacts avec lesquels vous échangez ce type de contenu aient désactivé ce réglages par défaut. Pour cela, demandez leur d’aller dans « Réglages », puis de cliquer sur « Discussions » et enfin de désactiver l’option « Enregistrer dans la pellicule ». Ils refusent ? Cessez d’utiliser Whatsapp avec eux.

Conclusion

Si vous souhaitez quand même utiliser WhatsApp…assurez-vous de désactiver les sauvegardes ( Réglages WhatsApp → Discussions → Sauvegarde → Sauvegarde Auto) et d’activer les notifications de changement d’empreinte (Paramètres → Mon compte → Sécurité et faites glisser vers la droite « Afficher les notifications de sécurité »).

Si vous cherchez une alternative, nous vous déconseillons Telegram car leur protocole de chiffrement n’est pas sûr (Lien [En]) bien que l’application soit présentée comme très sécurisée. L’application Signal offre une solution plus respectueuse de la vie privée.

Des questions ? D’accord ou pas d’accord ? Dites-le nous !

Dernière mise à jour : Mai 2019