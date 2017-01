Un article du "Guardian" accuse l'application d'avoir laissé une porte dérobée permettant d'intercepter les messages cryptés des utilisateurs.

Crédit : AFP L'application Whatsapp permet d'envoyer sans frais des SMS, des vidéos, des messages vocaux et des photos à ses contacts

par Benjamin Hue publié le 16/01/2017 à 18:00

Dans un article publié vendredi 13 janvier sur son site internet, le quotidien britannique The Guardian accuse WhatsApp, l'application de messagerie instantanée propriété de Facebook, d'avoir introduit volontairement une vulnérabilité dans son système permettant d'accéder aux messages chiffrés des utilisateurs.



Intitulé "Une porte dérobée de WhatsApp permet d'espionner les messages chiffrés", l'article explique comment l'application a la possibilité de "forcer la génération de nouvelles clés de chiffrement pour un utilisateur hors-ligne, sans avertir l'expéditeur ou le destinataire, puis de déchiffrer à nouveau les messages et les réexpédier au destinataire s'ils n'ont pas déjà été reçus".



Un processus qui donne la possibilité à l'application d'accéder au contenu des messages avant qu'ils ne soient chiffrés à nouveau. "Si WhatsApp est sollicité par une agence gouvernementale pour révéler des historiques de discussion, il peut effectivement donner accès", explique le chercheur en cybersécurité Tobias Boelter au Guardian.

1 - Comment fonctionne le chiffrement des conversations WhatsApp ?

Acheté en 2014 par Facebook pour 22 milliards de dollars, WhatsApp est utilisé par plus d'un milliard de personnes à travers la planète. L'application a généralisé le chiffrement de bout en bout des communications de ses utilisateurs au mois d'avril 2016. Les messages sont chiffrés par l'intermédiaire de clés cryptographiques de façon à ce que seule la clé située dans le smartphone du destinataire soit en mesure de les décoder. Ils ne font que transiter par les serveurs de WhatsApp et échappent, a priori, à toute surveillance. Même le fournisseur du service n'est, en théorie, pas en mesure d'accéder au contenu de la conversation.

2 - Que lui reproche "The Guardian" ?

Le dispositif s'appuie sur le protocole de chiffrement développé par Open Whispers, la société à l'origine de l'application Signal, réputée pour sa solidité et recommandée par Edward Snowden. Mais à l'inverse de l'application Signal, qui bloque automatiquement l'envoi d'un message lorsqu'une nouvelle clé de chiffrement est générée et que les deux utilisateurs n'ont pas encore validé ce changement, WhatsApp privilégie de son côté l'accessibilité et ne prévient pas les utilisateurs du changement de clé avant d'expédier automatiquement les messages. Cette fonctionnalité est désactivée par défaut.

WhatsApp ne notifie pas automatiquement lorsqu'une nouvelle clé de chiffrement est générée

3 - Peut-on parler de "backdoor" ?

C'est cette implémentation du protocole de Signal qui pose problème. Mais la portée de cette vulnérabilité est limitée. Elle concerne seulement les messages délivrés après un changement de clé, durant la période où un appareil était injoignable, et non l'intégralité de l'historique des conversations. Pour les experts en cryptographie, les accusations du Guardian sont trop sévères. "Il n'y a rien de neuf. Bien sûr, si vous ne vérifiez pas les clés de sécurité sur Signal, WhatsApp, etc, il est possible de procéder à une attaque", a indiqué sur Twitter un ancien développeur chez Open Whispers, Frederic Jacobs, jugeant "ridicule de présenter cela comme une porte dérobée : si vous ne vérifiez pas vos clés, leur authenticité n'est pas garantie, c'est bien connu".

4 - Que répond WhatsApp ?

En l'état, WhatsApp semble avoir fait le choix de la simplicité de l'expérience utilisateur au détriment de la sécurité. "Dans de nombreux pays, les gens changent souvent de carte SIM et de smartphone. Dans ces situations, nous souhaitons d'abord que les messages soient envoyés à destination et ne soient pas perdus en route", a justifié un porte-parole de WhatsApp auprès du Guardian. Pour être averti lorsqu'une nouvelle clé de chiffrement est générée, il faut activer l'option dans "Réglages", "Comptes" puis "Sécurité". D'une manière générale, la vérification des clés de chiffrement est indispensable à l'établissement d'une communication sécurisée entre deux interlocuteurs.