Le « Guardian » a publié un article dans lequel il affirme qu’utiliser WhatsApp n’est pas sûr. | © Dado Ruvic / Reuters / REUTERS

Vendredi 13 janvier, le quotidien britannique The Guardian a publié un article accusant WhatsApp, la très populaire application de discussion instantanée appartenant à Facebook, d’avoir sciemment laissé une vulnérabilité informatique dans son application, permettant, sous certaines conditions, d’accéder à des messages chiffrés de ses utilisateurs. Des accusations largement démenties par la quasi-totalité des experts en chiffrement.

Comment les messages WhatsApp sont-ils chiffrés ?

Depuis 2016, WhatsApp a généralisé, pour tous ses utilisateurs, le « chiffrement de bout en bout » : lorsqu’un utilisateur envoie un message, il est chiffré sur son téléphone, transite par les serveurs de WhatsApp, et n’est déchiffré que sur le téléphone de son destinataire, en utilisant un système de doubles clefs. Dans cette configuration, même si un message est intercepté, il est quasiment impossible d’en connaître le contenu. Le protocole utilisé par WhatsApp est celui développé par Open Whispers, la société qui édite notamment l’application Signal, dont l’usage est recommandé par Edward Snowden, et ce protocole est réputé particulièrement robuste.

En revanche, pour que le chiffrement de bout en bout soit efficace, il faut que les deux utilisateurs aient « vérifié » la clef de leur correspondant – une manipulation qui confirme au logiciel que l’interlocuteur est bien celui qu’il prétend être.

Que dit l’article du « Guardian » ?

Dans son article publié vendredi 13 janvier, le quotidien accuse WhatsApp de ne pas avoir corrigé une faille de sécurité, que le journal qualifie de « porte dérobée » – une vulnérabilité laissée à dessein pour permettre à l’entreprise de déchiffrer le contenu de conversations à l’insu de l’utilisateur.

Techniquement, la manière dont WhatsApp a mis en place le protocole d’Open Whisper peut permettre, sous certaines conditions, de consulter des messages WhatsApp, explique le Guardian. L’application peut regénérer des clefs de chiffrement à l’insu de ses utilisateurs, et renvoyer les messages non encore transmis, ce qui peut théoriquement permettre à WhatsApp d’intercepter la communication et de la déchiffrer, puisque les nouvelles clefs n’ont pas été vérifiées par les correspondants.

Que disent les spécialistes ? Que répond WhatsApp ?

L’article du Guardian a été accueilli avec beaucoup de scepticisme par les spécialistes du chiffrement. « Rien de nouveau », expliquait vendredi le chercheur Frederic Jacobs, qui a notamment travaillé sur Signal. « Bien sûr, si vous ne vérifiez pas vos clefs, WhatsApp, Signal ou d’autres ont la possibilité d’intercepter vos communications ». « C’est pour cela qu’il y a un réglage dans WhatsApp pour obtenir des notifications lorsque la clé des destinataires change. Dans Signal, c’est activé par défaut. Pas dans WhatsApp. C’est la seule différence », détaillait-il.

L’application permet de continuer à envoyer des messages même lorsque la clef n’est plus vérifiée. WhatsApp a expliqué avoir fait ce choix en connaissance de cause : « Nous avons une option “Afficher les notifications de sécurité” qui vous signale que la clef d’un contact a changé. Nous savons que la raison pour laquelle cela arrive le plus fréquemment est parce qu’une personne a changé de téléphone ou a réinstallé WhatsApp. Dans de nombreuses parties du monde, les gens changent fréquemment de téléphone ou de carte Sim. Lorsque cela se produit, nous voulons nous assurer que les messages sont transmis, et ne sont pas perdus ».

En résumé, WhatsApp a donc fait un choix qui privilégie la simplicité d’utilisation, mais qui pourrait présenter un risque de sécurité dans des circonstances exceptionnelles, qui permettrait une forme de « mise sur écoute » complexe à mettre en œuvre et ne permettant pas d’accéder aux archives des messages envoyés. Pourtant, Moxie Marlinspike, l’un des plus grands spécialistes du chiffrement et co-créateur du protocole de Signal, considère que WhatsApp a fait le bon choix :

« Etant donné le nombre d’utilisateurs de WhatsApp [un milliard d’utilisateurs revendiqués], nous considérons que leur choix d’afficher une notification qui ne bloque pas l’envoi de messages est approprié. Cette approche combine une technologie transparente et sûre de protection de la confidentialité des messages avec une expérience utilisateur simple. Le choix de rendre ces notifications bloquantes [empêcher l’envoi de messages tant que la nouvelle clef n’a pas été vérifiée] rendrait les choses pires d’une certaine manière. Cela occasionnerait une fuite d’informations sur les personnes qui ont ou n’ont pas activé les notifications de sécurité, ce qui permettrait de déterminer quels sont les utilisateurs qui peuvent être vulnérables à une attaque », écrit-il.

Pourquoi y a-t-il un débat sur le fait qu’il s’agisse d’une « porte dérobée » ?

L’article du Guardian a été vivement critiqué par des défenseurs des libertés numériques, non pas tant sur sa démonstration technique que sur le fait qu’il présente ses découvertes comme une « porte dérobée » (« backdoor »), à savoir une vulnérabilité introduite ou maintenue à dessein pour permettre à un tiers – un gouvernement notamment – d’accéder à des informations à l’insu de l’utilisateur.

« Le fait que WhatsApp gère les changements de clefs n’est pas une porte dérobée, c’est la manière dont fonctionne le chiffrement », écrit Moxie Marlinspike. « WhatsApp ne fournit pas des portes dérobées aux gouvernements, et combattrait toute tentative d’un état d’en créer une », a renchéri WhatsApp dans un communiqué. L’entreprise a eu en 2016 des démêlés avec plusieurs gouvernements, qui lui demandaient de fournir le contenu des communications entre des suspects dans différentes affaires de drogue ou de terrorisme - un haut cadre de Facebook a même été arrêté au Brésil dans une tentative de faire pression sur le propriétaire de l’entreprise. A chaque fois, WhatsApp a expliqué que l’architecture même de son service faisait qu’il ne conservait aucune copie des messages transmis.

Les accusations infondées « font courir le risque de détourner des utilisateurs d’un outil bien conçu et de les faire se tourner vers des produits beaucoup plus dangereux qui font des promesses fausses », écrit Moxie Marlinspike. Vendredi 13 janvier, Pavel Durov, le PDG de Telegram –une application concurrente et dont le chiffrement est réputé moins robuste que Signal – a d’ailleurs saisi l’occasion de faire de la publicité à son service, affirmant sans présenter aucune preuve que les « experts en chiffrement qui disaient du bien de WhatsApp pourraient bien travailler pour le gouvernement américain ».

Au final, utiliser WhatsApp est-il sûr ?

De l’avis de tous les spécialistes, WhatsApp reste une solution sécurisée de messagerie, l’une des plus efficaces après Signal. Mais pour que le chiffrement des messages soit efficace, il est important de vérifier l’identité de ses contacts, au moins ceux avec lesquels les utilisateurs peuvent être amenés à échanger des informations sensibles. Et il est fortement recommandé d’activer les notifications de sécurité dans le menu « réglages », « compte », « sécurité » pour être alerté si la clef d’un contact change.

Ce qui ne veut pas dire que l’entreprise est toujours respectueuse de la vie privée de ses utilisateurs : fin 2016, les Commissions nationales pour l’informatique et les libertés (CNIL) européennes ont mis en demeure l’entreprise de cesser de partager les données de ses utilisateurs européens avec Facebook, qui s’est finalement exécutée en novembre 2016. Lors du rachat de WhatsApp, Facebook avait promis que les données des deux services ne seraient pas combinées, avant de faire marche arrière en 2016.