Depuis la parution d’un article du Guardian, WhatsApp est accusé d’avoir menti sur sa sécurité. Et si on se calmait sur les théories du complot ?
À voir aussi sur Konbini
Le 13 janvier, le vénérable quotidien britannique The Guardian dépose une petite bombe dans ses colonnes en titrant qu’“une vulnérabilité dans WhatsApp permet d’espionner les messages cryptés”. Selon l’ONG Privacy, interrogée par le journal, et plusieurs chercheurs en cryptographie, cela va même plus loin : l’application, qui fait du chiffrement des message son principal argument commercial, aurait délibérément menti à ses utilisateurs en installant discrètement une “porte dérobée” (backdoor), une vulnérabilité que l’application pourrait exploiter dans le cas où un gouvernement lui demanderait de récupérer les messages de certains utilisateurs.
S’il s’agissait d’une autre application, le milieu de la sécurité informatique aurait probablement haussé les épaules en se disant qu’il commence à avoir l’habitude. Mais c’est de WhatsApp dont l’on parle, le leader incontesté de la messagerie sécurisée, racheté par Facebook en 2014 pour la somme faramineuse de 18 milliards d’euros. Avec un milliard d’utilisateurs, l’information a de quoi faire paniquer.
En avril 2016, l’application annonçait le déploiement d’un système de chiffrement dit “bout en bout” (end-to-end) par défaut. Un système qui permet aux message échangés d’être entièrement opaques à quiconque essaierait de les intercepter, y compris l’application elle-même (notamment dans les cas d’injonction judiciaire, comme lors du précédent entre Apple et le FBI). Plus spécifiquement, le processus de chiffrement, développé en open source, provient d’Open Whispers Systems (OWS), l’entreprise derrière l’application de messagerie Signal, considérée comme l’une des plus sûres du marché et recommandée par sa seigneurie Snowden lui-même.
Le maître des clés
Bref, une technologie irréprochable sur le plan éthique, qui fonctionne sur un système de clés, brillamment résumé par le site Reflets.info : en gros, chaque utilisateur possède deux clés liées mathématiquement l’une à l’autre, l’une privée, l’autre publique. L’utilisateur A utilise la clé publique de l’utilisateur B pour chiffrer le message envoyé, que celui-ci décode avec sa clé privée et inversement. L’étape cruciale pour la légitimité de ce système, dit “asymétrique”, est la vérification des clés publiques (afin d’éviter qu’un hacker ne copie la vôtre pour se faire passer pour vous). Comme cette étape est bien trop compliquée pour monsieur-tout-le-monde, WhatsApp s’en charge pour vous : c’est pour cela que dès que vous changez d’appareil ou de carte SIM, l’application vous envoie un code par SMS que vous devez ensuite entrer dans le programme. C’est là que réside la vulnérabilité décrite par le Guardian.
En effet, selon l’Allemand Tobias Boelter, doctorant à l’université de Berkeley (Californie) et à l’origine de la découverte, WhatsApp permet de contourner cette légitimité. Si un destinataire change sa clé alors qu’il est hors ligne, l’appli va automatiquement renvoyer le message avec une nouvelle clé sans en informer l’expéditeur alors que la sécurité de la communication sera compromise. Il suffira alors pour un hacker de se placer entre les deux interlocuteurs (la technique dite de “l’homme du milieu”) pour récupérer le message.
À l’inverse, une application comme Signal, basée sur le même protocole, ne renverra pas le message et avertira l’utilisateur qu’un truc pas net s’est produit. Là où les défenseurs de la vie privée hurlent au complot, c’est que Tobias Boelter a informé Facebook (propriétaire de WhatsApp) de la vulnérabilité en avril dernier et que l’entreprise lui a gentiment expliqué… qu’elle était au courant et qu’elle ne ferait rien pour la modifier. Quand le Guardian l’a testée, la vulnérabilité était en effet toujours là. Suspect, non ?
L’hystérie de la sécurité en Grande-Bretagne
Certes, la réaction de Facebook a de quoi faire froncer quelques sourcils. Sauf que, comme le rappellent plusieurs journalistes spécialisés et cryptographes recensés par Numerama, dans ce cas, on est quand même un peu loin d’une backdoor. En fait, il s’agirait plutôt, au pire d’une négligence, au mieux d’un compromis assumé entre sécurité et facilité d’utilisation de l’appli. Signal propose un protocole plus sécurisé, certes, mais du même coup plus contraignant pour l’utilisateur. WhatsApp, de son côté, a choisi un protocole plus léger et plus facile. L’application se justifie en expliquant que l’automatisation du renvoi des messages permet aux utilisateurs qui changent souvent de SIM de ne pas perdre leurs écrits lors du changement, et rappelle qu’il existe une option de sécurité, à activer, pour que l’appli vous prévienne en cas de changement de clé de sécurité.
Finalement, ce qu’illustre cette histoire de backdoor, de scandale et de résurgence d’un fantôme à la PRISM, c’est surtout la chaleur du débat autour de la protection des données privées qui a actuellement lieu en Grande-Bretagne, alors que le pays vient de faire passer l’IP Act, “la loi de surveillance la plus extrême du monde occidental” selon Edward Snowden, le tout dans un contexte de lutte entre législation nationale et européenne. À choisir, mieux vaut encore un débat confinant à l’hystérie complotiste que pas de débat du tout. Mais à l’heure de la collecte de données massive par les pouvoirs publics, viser l’une des messageries les plus sécurisées du monde, quand bien même elle est dirigée par Facebook, ne semble pas franchement prioritaire.