Publicité

Article

WhatsApp est-il sûr ? Peut être pas tant que ça…

Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedetti

  • Mise à jour:

Quand une application affirme être sécurisée, deux options s’offrent à nous : la croire ou enquêter. Dans le cas de  WhatsApp, le verdict est “peu sécurisée” : n’importe qui peut lire vos messages avec les moyens adéquats.

WhatsApp affiche sur son site Internet que la communication entre votre téléphone et le serveur est cryptée et qu’aucun historique n’est conservé sur le serveur. C’est vrai, WhatsApp crypte les messages grâce à un système techniquement sûr, par le biais duquel les messages sont cryptés avant d’être envoyés sur le serveur, où ils sont stockés temporairement. Le problème vient de la manière avec laquelle le cryptage se fait et, elle, n’est pas sécurisée.

WhatsApp est-il sûr ? Peut être pas tant que ça…

Il existe des programmes qui déchiffrent les messages de WhatsApp

Thijs Alkemade, un étudiant hollandais, a découvert qu’il est possible de déchiffrer les messages de WhatsApp car ils utilisent les mêmes clés de chiffrement dans deux directions. C’est un défaut qui affecte les versions Android et Symbian de WhatsApp. Pour le moment, aucune solution n’a été donnée. La conclusion de l’expert hollandais est dure : il considère que toutes les conversations auxquelles vous avez participé jusqu’à maintenant ne sont pas sécurisées.

Lorsque le PDG de WhatsApp, Jan Koum, a eu vent de cette nouvelle, voici ce qu’il a répondu :

WhatsApp prend la sécurité au sérieux et cherche constamment à améliorer le produit. Bien que nous apprécions le commentaire, il nous semble que l’article décrit un scénario purement théorique. Dire que toutes les conversations doivent être considérées comme non sécurisées est inexact. C’est exagéré et médiatique.

Tout est normal ? L’insécurité n’est que théorique ? Et bien non. Deux chercheurs espagnols, Jaime Sánchez et Pablo San Emeterio, ont prouvé grâce à l’application WhatsApp Message Decoder que la vulnérabilité mise en lumière par Thijs Alkemade pouvait être facilement exploitée.

Sánchez et San Emeterio sont allés plus loin et ont présenté une solution potentielle qui consiste à substituer au cryptage de WhatsApp un système de chiffrement plus sûr, qui ne passe pas par les serveurs officiels. Leur intention, ont-ils expliqué dans une interview au quotidien espagnol El Mundo, est d’éviter que des tiers puissent avoir accès à nos conversations.

Diagramme de la solution proposée par Sánchez et San Emeterio

Ceci laisse WhatsApp dans une position précaire. Historiquement, nous n’avons pas l’impression que la sécurité a été une préoccupation centrale de l’entreprise. En 2012 déjà, WhatsApp Sniffer, une application capable d’intercepter les messages de WhatsApp, avait prouvé le manque de chiffrement de l’application. WhatsApp avait réglé le problème, mais le mal était fait.

Les alternatives sont plus sûres, mais personne ne les utilise

L‘insécurité sur WhatsApp a conduit à l’apparition d’une nouvelle génération d’applications de messagerie dont le message fort est la sécurité. À la différence des applications d’envoi de messages sûrs, plus centrées sur l’envoi de SMS, les nouvelles applications de tchat ressemblent beaucoup à WhatsApp.

La première dont nous avons entendu parler est Heml.is, développée par le créateur polémique de la plateforme de téléchargements PiraBay. Heml.is n’est toujours pas public, mais il s’agira d’une alternative intéressante et gratuite à WhatsApp, avec son interface lumineuse et attractive et, surtout, une sécurité renforcée, qui reposera sur une combinaison de techniques allant de messages possédant une date d’expiration à un chiffrement plus poussé.

Une autre option déjà disponible est Telegram, une application de messagerie créée par les fondateurs de VK, le Facebook russe. Lancée peu après le scandale de la NSA, Telegram Messenger, qui est disponible pour Android et iPhone, chiffre les messages et fait en sorte qu’ils s’autodétruisent. Ses serveurs sont répartis partout dans le monde. De plus, les tchats privés ne sont pas stockés sur le cloud de Telegram.

En Espagne, on note l’arrivée de Woowos, qui ne fait pas que crypter les messages, mais indique également par l’intermédiaire de différentes icônes si le message a été remis, lu, effacé avant d’être lu ou effacé après être lu. L’application cherche à simplifier les complications émanant des systèmes de messagerie dans lesquelles il faut faire attention à qui on envoie le message, mais également à ce que les destinataire en a fait.

Le problème, c’est qu’aucune de ces applications ne possède une solide base d’utilisateurs. Pourquoi ? L’une des raisons est certainement que leur utilisation est compliquée. Le succès de WhatsApp repose sur la simplicité de l’application qui demande un effort minimal à notre cerveau. Si envoyer un message est compliqué, l’application aura du mal à avoir du succès.

Threema indique le niveau de sécurité de la conversation grâce à un feu tricolore

Les seules applications capables de piquer des parts de marché à WhatsApp, comptent soit sur le soutien d’un système d’exploitation ou d’un opérateur (Skype, BBM, ChatON), ou proposent des multitudes de fonctions différentes comme la vidéo sur Viber ou les stickers et jeux de LINE. Aucune des applications de messagerie sécurisées n’a de valeur ajoutée par rapport à WhatsApp. Il est donc compliqué de changer.

Pourquoi WhatsApp n’améliore pas sa sécurité ?

Le problème est qu’il n’y a aucun pouvoir de contrôle sur certains messages : ceux que les autres envoient. En Inde, par exemple, les médecins utilisent WhatsApp pour envoyer les radiographies et les photos qui devraient être protégées par le secret médical. Protéger la confidentialité est une nécessité.

Certains médecins envoient les radios et les autres données confidentielles via WhatsApp

De plus, la sécurité des communications n’est pas qu’une question personnelle, mais également une question de principe : un service a l’obligation morale – et juridique – de protéger la confidentialité de ses usagers dans le cas d’écoutes ou de vol d’informations. De plus, si la majorité des utilisateurs ne se préoccupe pas de la sécurité, l’entreprise qui fournit le service doit le faire. Protéger la confidentialité est dans l’intérêt de tous (à l’exception de la NSA).

Pourquoi WhatsApp n’applique pas une sécurité plus forte ?

Tout simplement parce qu’un niveau de sécurité élevé coûte cher à appliquer et maintenir et qu’il peut être gênant pour les utilisateurs. Renforcer WhatsApp voudrait dire changer les bases d’une application utilisée par des centaines de millions de personnes. Ce n’est pas une considération triviale : il faut y aller pas à pas et s’assurer de ne perdre personne en route. Parce que, ne l’oublions pas, l’objectif principal de WhatsApp est la communication rapide et simple, ce n’est pas la communication à l’abri des oreilles indiscrètes.

En somme, il semble que la sécurité importe peu à la majorité des utilisateurs et des applications de messagerie. La sécurité peut entraver généralement la vitesse et le caractère attractif de l’application peut en être affecté. C’est pourquoi les alternatives sûres à WhatsApp ne se développent pas et que WhatsApp ne tente pas de proposer un système à l’épreuve des hackers.

Et vous, que pensez-vous des problèmes de sécurité de WhatsApp ?

Adapté de l’espagnol. Article original écrit par  Softonic.com.

Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedetti

Directives éditoriales