Pourquoi nous ne devrions pas utiliser Whatsapp

whatsapp baréé

Whatsapp se présente comme une application sécurisée. Nous pouvons lire sur son site que l’application utilise le chiffrement de bout en bout afin que personne, pas même Whatsapp, ne puisse lire les messages.

chiffrement de bout en bout whatsapp
La sécurité telle qu’elle est présentée par Whatsapp

Or, ce n’est plus un secret, l’entreprise Whatsapp appartient depuis 2014 à Facebook (Meta) qui l’a rachetée pour la somme de 22 milliards de dollars, soit 40 dollars par utilisateur à cette époque.

Compte tenu des sommes investies par Facebook dans cet achat, est-il raisonnable de penser que Facebook a pour seul objectif de nous laisser utiliser gratuitement sa messagerie ? Aux dernières nouvelles Meta n’est toujours pas une association philanthropique…

La sécurité proposée par Whatsapp est-elle vraiment effective ? Et si l’application est sécurisée, est-elle pour autant privée ?

Le fonctionnement de Whatsapp

Le fonctionnement de Whatsapp est similaire au fonctionnement de l’application concurrente Signal, à quelques différences près.

D’une manière générale, lorsqu’un message est envoyé, les étapes suivantes sont effectuées :

  1. Le message est chiffré à l’aide du protocole de chiffrement Signal sur le téléphone de l’expéditeur.
  2. Le message est envoyé via Internet à des serveurs appartenant à Facebook.
  3. Quand le destinataire vérifie la présence de nouveaux messages, les serveurs transmettent les messages en attente au destinataire.
  4. Enfin, le destinataire déchiffre les messages reçus directement sur le téléphone.

Dans ce cas de figure, le contenu des messages ne peut pas être lu par l’entreprise Facebook.

Whatsapp est-elle une application sécurisée ?

À première vue, oui. En effet, les pirates vont avoir beaucoup de mal à retrouver les échanges entre plusieurs utilisateurs. Vis-à-vis de ces groupes l’application est plutôt sécurisée.

De plus, le protocole de chiffrement utilisé dans l’application a fait ces preuves. Il est l’un des plus robustes à ce jour.

Mais ce n’est pas si simple

La sécurité de Whatsapp est à relativiser car le code source de l’application n’est pas disponible. Personne ne peut le vérifier librement, on ne sait pas exactement ce qu’il renferme. Personne ne peut vérifier si ce qu’affirme Facebook est vrai, voire même que l’entreprise ne s’est laissée aucun moyen pour accéder aux contenus des messages.

Par ailleurs, l’actualité nous a démontré que l’application n’est pas dénuée de failles. Elle est même particulièrement visée par les pirates. En effet, on a encore pu lire récemment que la présidente de la BCE Christine Lagarde avait reçu un faux message Whatsapp d’Angela Merkel cherchant à lui dérober un code d’authentification. Cela pourrait donc provenir d’une faille qui permettrait d’envoyer des messages avec le compte Whatsapp de quelqu’un d’autre. D’ailleurs, le fait même que certaines autorités politiques utilisent Whatsapp pose question.

Jeff Bezos, patron d’Amazon, avait lui aussi été victime d’un piratage il y a quelques années. On notera aussi que le fameux logiciel d’espionnage israélien Pegasus s’est servi d’une faille de Whatsapp.

On peut encore citer le cas de ces organisations bancaires qui ont reproché à leurs cadres l’utilisation de Whatsapp pour des messages hautement confidentiels. Certains ont payé de fortes amendes, voir ont été licenciés pour cette raison.

L’application fait régulièrement l’objet de correctifs suite à des découvertes de failles très importantes. La dernière en date (septembre 2022) permettrait de prendre le contrôle de l’application. Son niveau de sévérité a été évalué de 9,8/10.

Un chiffrement à relativiser

Par ailleurs, si Whatsapp prétend proposer du chiffrement de bout en bout, on peut néanmoins en douter. Pour rappel le chiffrement de bout en bout consiste à chiffrer les messages depuis l’appareil de l’émetteur jusqu’à celui du récepteur. En pratique, personne d’autres que l’émetteur et le récepteur ne peut lire les fichiers.

Or, on apprenait il y a quelques mois que Whatsapp emploie environ 1 millier de modérateurs. Alors que font ces personnes si ce n’est lire certains messages pour en vérifier le contenu ? On peut donc légitimement s’interroger sur le caractère privé des échanges Whatsapp.

La sécurité n’est qu’un argument commercial

La sécurité d’une messagerie ne doit pas se limiter à chiffrer des messages et du contenu échangé mais à fonder un système complet centré sur la confidentialité autour de ses échanges.

Nous avons plusieurs raisons de douter de la volonté qu’a Facebook de rendre Whatsapp sécurisé.

La première raison, déjà évoqué, est le code source non ouvert au public. Avant même de parler de l’application en elle-même nous avons un tiers de confiance (Facebook) présent dans la chaîne de sécurité de l’écosystème Whatsapp. Nous devons donc aveuglément faire confiance à Facebook (Meta) puisque nous n’avons aucun moyen de vérification. Mais qui fait encore confiance à la société Facebook? Faut-il revenir sur toutes les affaires et les procès dont la société fait l’objet et qui sont liés au traitement des données personnelles des utilisateurs?

Le problème des métadonnées

Ensuite, la sécurité apportée par le chiffrement n’est que partielle, car seul le contenu des messages est protégé par le chiffrement, rien d’autre. Les métadonnées ne sont ni chiffrées, ni rendues invisibles, ni inexploitables. Aucun effort n’a été fait par Facebook sur ce point.

Pour rappel, les métadonnées correspondent à l’ensemble des données sur la forme du message : l’expéditeur, le destinataire, la date et le lieu d’envoi et de réception, la longueur du message, etc.

Ces métadonnées peuvent à elles seules révéler, au moins partiellement, le contenu des messages, particulièrement quand on a un grand nombre de ces métadonnées dans le temps.

Les métadonnées sont bien plus instructives sur les comportements des personnes et sur leur identité que le le contenu même des messages.

Une messagerie qui vend de la sécurité et de confidentialité doit donc nécessairement limiter l’échange et le stockage de métadonnées et en assurer le chiffrement.

Peut-on supprimer ses données Whatsapp ?

Enfin, il est très critiquable d’un point de vue de la sécurité que les messages soient gardés indéfiniment sur les serveurs de Facebook. La limitation d’accès aux données au maximum est un principe de base de la sécurité. Donc, pour une application sécurisée, il serait tout à fait naturel de supprimer le message du serveur dès qu’il a été correctement délivré au destinataire. C’est d’ailleurs ce que Signal fait.

Quand on a dit tout cela, on comprend que la sécurité vendue par Whatsapp est plus un argument commercial qu’une réalité technique, dans le but de rassurer les utilisateurs.

Vous pensiez échanger des informations sans vous soucier de votre vie privée (si vous vous en souciez…), mais rien n’est moins vrai.

Facebook a accès à plus que ce qu’il laisse penser

Fin 2021, un document du FBI a révélé les données auxquelles les services de renseignements américains ont accès pour les messageries instantanées « sécurisées » les plus connues.

Le document du FBI, à retrouver ici

Ce document vient corroborer nos propos.

En effet, on y apprend que Facebook enregistre toutes vos métadonnées pour connaître vos habitudes de communication.

De plus, l’entreprise se permet de récupérer l’ensemble de votre carnet d’adresses, même ceux qui ne sont pas inscrits sur Whatsapp (merci pour nous…).

Et le chiffrement du contenu de vos messages n’est que partiel, car les services de renseignements peuvent avoir un accès au contenu des messages. Cela veut donc dire qu’un moyen est gardé par Facebook pour déchiffrer le contenu quand il le souhaite. Ou bien Whatsapp possède une copie de vos clés de déchiffrement, ou bien ils ont un accès direct à votre smartphone. La première solution est techniquement plus simple et plus probable étant donné qu’ils ne suppriment pas les messages de leurs serveurs.

Ce qu’en dit le créateur de Whatsapp

Suite au rachat de Whatsapp par Facebook, le créateur de Whatsapp, Brian Acton, a révélé avoir « vendu la vie privée de mes utilisateurs ». Par ailleurs, il a fini par quitter Facebook suite à son profond désaccord sur l’usage qui allait être fait des données des utilisateurs Whatsapp par Facebook.

Il s’est alors investi sur l’application concurrente Signal, en fondant la Signal Foundation. Son but était de lancer l’application afin de rivaliser avec Whatsapp.

Son témoignage prouve que Whatsapp est une application qui ne mérite aucune confiance de notre part. Que ce soit sur le modèle économique qu’il a préféré dénoncer au prix de centaines de millions de dollars, ou sur l’aspect sécurité/vie privée.

Conclusion

Donc à la question « Whatsapp est-elle une application fiable ? »

On répondra simplement qu’elle ne l’est pas, tant du point de vue du niveau de sécurité que du niveau de confidentialité.

Cette application ne respecte aucun des principes de sécurités. De plus l’entreprise vend des services sur les données que vous générez à travers Whatsapp, ce qui est donc contraire à ce que laisse croire Whatsapp en disant « Il n’y a personne entre vous, pas même WhatsApp ».

Si cette application a autant de succès, c’est comme souvent par effet de mimétisme. On télécharge l’application parce qu’on a entendu dire qu’elle fonctionnait bien et que beaucoup de monde l’utilise. Mais on ne se pose pas les questions importantes concernant le respect de la vie privée, la sécurité, le stockage des données, la possibilité de supprimer etc.

En définitive, un utilisateur un tant soit peu attentif à sa sécurité et à sa vie privée se gardera bien de posséder un compte Whatsapp et préférera des messageries opensource telles que Signal, Session, Briar, Element, ou encore Olvid.

Partager :

Recevez un chapitre gratuit

Inscrivez-vous à notre lettre d’information et recevez dans votre boite mail un chapitre gratuit du livre 24 heures dans une vie pas si privée.

Autres articles :

Acheter