Whatsapp : non, il n'y a pas de faille de sécurité
Crédit Photo : WhatsappLe quotidien anglais « The Guardian » a publié le 13 janvier dernier un article accusant l'application de messagerie instantanée Whatsapp de permettre volontairement l'accès aux messages privés de ses utilisateurs. Quelques jours après cette accusation, la situation semble avoir été mise au clair, et « The Guardian » jugé un peu trop sévère.
Une faille dans la sécurité ?
Whatsapp, application de messagerie instantanée rachetée en 2014 par le groupe Facebook, compte plus d'1 milliard d'utilisateurs à ce jour. Il y a quelques mois, Whatsapp a mis en place le chiffrement de bout en bout pour protéger les communications privées de ses utilisateurs. Cette technique de sécurité consiste à coder les messages de l'expéditeur grâce à des clés de chiffrement, que seul le smartphone du destinataire peut déchiffrer. De cette façon, les messages sont censés échapper à toute surveillance.
Or, si le destinataire n'est pas connecté, le message envoyé reste en transit et c'est là que se situe la « faille » que « The Guardian » pointe du doigt. En effet, tant que le message n'est pas délivré, il y a une possibilité qu'un attaquant ayant accès aux services de Whatsapp change les clés cryptographiques et décode le message intercepté.
Selon le quotidien britannique, cela pourrait être volontairement permis afin de collaborer avec les gouvernements qui souhaiteraient avoir accès à des conversations privées dans le cas de certaines affaires. « The Guardian » parle alors de « porte dérobée pour espionner les messages chiffrés ».
Des accusations abusives
Le dispositif de sécurité utilisé par Whatsapp est le même que celui de l'application Signal. Cette dernière application est pourtant jugée plus sûre par le quotidien, puisque Signal bloque automatiquement l'envoi des messages lorsque le destinataire n'est pas connecté à l'application, évitant ainsi au message d'être intercepté et déchiffré. Or, d'après Moxie Marlinspike, créateur du protocole de sécurité de Signal, les accusations de « The Guardian » sont exagérées puisque Whatsapp permet également de bloquer l'envoi des messages à risque, mais seulement si cette option a été préalablement cochée dans les paramètres. La seule différence avec la sécurité de Signal est donc que Whatsapp a choisi la simplicité, plutôt que de contraindre ses utilisateurs à une vérification à chaque fois que leur destinataire n'est pas en ligne.
Selon les experts, à partir du moment où les tentatives d'interception des messages peuvent être détectées et notifiées, l'application n'a donc rien à se reprocher. Le protocole de sécurité de Whatsapp est efficace, mais pas parfait, et cela n'est pas une nouveauté.
Un porte-parole de l'application mise en cause s'est exprimée en ces termes : « Dans de nombreux pays, les gens changent souvent de carte SIM et de smartphone. Dans ces situations, nous souhaitons d'abord que les messages soient envoyés à destination et ne soient pas perdus en route. »
Whatsapp semble donc avoir tout mis en œuvre pour protéger la vie privée de ses utilisateurs, mais, à la différence de Signal, il leur laisse la liberté de garantir au maximum leur sécurité en cochant l'option « Afficher les notifications de sécurité » dans les paramètres.