3 min de lecture Connecté

WhatsApp accusé de ne pas suffisamment protéger ses communications cryptées

Un article du "Guardian" accuse l'application d'avoir laissé une porte dérobée permettant d'intercepter les messages cryptés des utilisateurs.

L'application Whatsapp permet d'envoyer sans frais des SMS, des vidéos, des messages vocaux et des photos à ses contacts
L'application Whatsapp permet d'envoyer sans frais des SMS, des vidéos, des messages vocaux et des photos à ses contacts Crédit : AFP
Benjamin Hue
Benjamin Hue
Journaliste RTL

Dans un article publié vendredi 13 janvier sur son site internet, le quotidien britannique The Guardian accuse WhatsApp, l'application de messagerie instantanée propriété de Facebook, d'avoir introduit volontairement une vulnérabilité dans son système permettant d'accéder aux messages chiffrés des utilisateurs. 

Intitulé "Une porte dérobée de WhatsApp permet d'espionner les messages chiffrés", l'article explique comment l'application a la possibilité de "forcer la génération de nouvelles clés de chiffrement pour un utilisateur hors-ligne, sans avertir l'expéditeur ou le destinataire, puis de déchiffrer à nouveau les messages et les réexpédier au destinataire s'ils n'ont pas déjà été reçus". 

Un processus qui donne la possibilité à l'application d'accéder au contenu des messages avant qu'ils ne soient chiffrés à nouveau. "Si WhatsApp est sollicité par une agence gouvernementale pour révéler des historiques de discussion, il peut effectivement donner accès", explique le chercheur en cybersécurité Tobias Boelter au Guardian.

1 - Comment fonctionne le chiffrement des conversations WhatsApp ?

Acheté en 2014 par Facebook pour 22 milliards de dollars, WhatsApp est utilisé par plus d'un milliard de personnes à travers la planète. L'application a généralisé le chiffrement de bout en bout des communications de ses utilisateurs au mois d'avril 2016. Les messages sont chiffrés par l'intermédiaire de clés cryptographiques de façon à ce que seule la clé située dans le smartphone du destinataire soit en mesure de les décoder. Ils ne font que transiter par les serveurs de WhatsApp et échappent, a priori, à toute surveillance. Même le fournisseur du service n'est, en théorie, pas en mesure d'accéder au contenu de la conversation.

2 - Que lui reproche "The Guardian" ?

À lire aussi
La 5G doit arriver en France à horizon 2020 Connecté
5G : la France n'est "pas en avance" sur le déploiement, selon les opérateurs

Le dispositif s'appuie sur le protocole de chiffrement développé par Open Whispers, la société à l'origine de l'application Signal, réputée pour sa solidité et recommandée par Edward Snowden. Mais à l'inverse de l'application Signal, qui bloque automatiquement l'envoi d'un message lorsqu'une nouvelle clé de chiffrement est générée et que les deux utilisateurs n'ont pas encore validé ce changement, WhatsApp privilégie de son côté l'accessibilité et ne prévient pas les utilisateurs du changement de clé avant d'expédier automatiquement les messages. Cette fonctionnalité est désactivée par défaut.

WhatsApp ne notifie pas automatiquement lorsqu'une nouvelle clé de chiffrement est générée
WhatsApp ne notifie pas automatiquement lorsqu'une nouvelle clé de chiffrement est générée

3 - Peut-on parler de "backdoor" ?

C'est cette implémentation du protocole de Signal qui pose problème. Mais la portée de cette vulnérabilité est limitée. Elle concerne seulement les messages délivrés après un changement de clé, durant la période où un appareil était injoignable, et non l'intégralité de l'historique des conversations. Pour les experts en cryptographie, les accusations du Guardian sont trop sévères. "Il n'y a rien de neuf. Bien sûr, si vous ne vérifiez pas les clés de sécurité sur Signal, WhatsApp, etc, il est possible de procéder à une attaque", a indiqué sur Twitter un ancien développeur chez Open Whispers, Frederic Jacobs, jugeant "ridicule de présenter cela comme une porte dérobée : si vous ne vérifiez pas vos clés, leur authenticité n'est pas garantie, c'est bien connu". 

4 - Que répond WhatsApp ?

En l'état, WhatsApp semble avoir fait le choix de la simplicité de l'expérience utilisateur au détriment de la sécurité. "Dans de nombreux pays, les gens changent souvent de carte SIM et de smartphone. Dans ces situations, nous souhaitons d'abord que les messages soient envoyés à destination et ne soient pas perdus en route", a justifié un porte-parole de WhatsApp auprès du Guardian. Pour être averti lorsqu'une nouvelle clé de chiffrement est générée, il faut activer l'option dans "Réglages", "Comptes" puis "Sécurité". D'une manière générale, la vérification des clés de chiffrement est indispensable à l'établissement d'une communication sécurisée entre deux interlocuteurs.

La rédaction vous recommande
Lire la suite
Connecté Réseaux sociaux Sécurité
Restez informé
Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires. Cette inscription sera valable sur le site RTL.fr.

Connectez-vous Inscrivez-vous

500 caractères restants

fermer
Signaler un abus
Signaler le commentaire suivant comme abusif
500 caractères restants