WhatsApp : pour Kaspersky, « aucun type de communication en ligne ne peut être 100% privé »
Pour Kaspersky, le principe même de la messagerie électronique ne garantit jamais pleinement le secret des conversations. Et le cryptage de bout en bout notamment vanté par WhatsApp et ses concurrents n’y change rien. L’éditeur russe explique qu’une distinction des termes employés autour de ce nouveau scandale potentiel doit être faite.
La publication, mardi, de l’enquête de ProPublica pointant du doigt la possible entorse faite au chiffrage de bout en bout par WhatsApp, a fait réagir le spécialiste de la cybersécurité, Kaspersky. L’éditeur de solutions décide de rétablir quelques vérités autour des révélations du média américain, qui explique, dans son papier, « comment Facebook compromet la protection de la vie privée des 2 milliards d’utilisateurs de WhatsApp ». Kaspersky explique notamment que l’accès du service à certains messages par des modérateurs ne remet pas en cause, d’un point de vue technique, le chiffrage de bout en bout (E2E).
Des personnes ont « faussement conclu » que la pratique annulait le chiffrage de bout en bout, explique Kaspersy
Selon ProPublica, les obligations légales imposées par l’État américain poussent WhatsApp à visionner les messages et contenus signalés, grâce à une petite armée de 1 000 modérateurs basés aux États-Unis, en Irlande et à Singapour qui, aidés par l’intelligence artificielle, scrutent et signalent à leur tour auprès des autorités américaines tout contenu pouvant avoir des répercussions pénalement importantes.
Expert sécurité chez Kaspersky, Victor Chebyshev nous dit que « de nombreuses personnes ont faussement conclu que ce règlement annule le chiffrage de bout en bout ». Et le spécialiste de rappeler que « selon les conditions générales de WhatsApp, si un utilisateur se plaint de contenus inappropriés ou du compte d’une personne, le service a alors accès à ses messages récents ». Conclusion première donc : techniquement, le chiffrage de bout en bout n’est pas remis en cause, en tout cas pas jusqu’au signalement.
Pour l’expert, il n’est donc « pas réaliste de prétendre que WhatsApp a accès à exactement cinq messages récents », comme on peut le lire dans l’enquête de ProPublica.
Faire bien attention aux termes employés
Kaspersky insiste sur un détail particulier : celui des termes utilisés qui, confondus, peuvent donner lieu à des informations erronées. Le chiffrage de bout en bout et le bouton « Signaler » de WhatsApp sont guidés par des algorithmes totalement différents.
« Le chiffrage de bout en bout donne à l’utilisateur et au destinataire une clé spéciale pour déverrouiller et lire les messages », explique Victor Chebyshev. Mais attention, car si la plateforme injecte ce chiffrage, cela n’empêche pas une personne d’envoyer des messages privés d’une conversation à quelqu’un d’autre, et ce, à l’insu de son interlocuteur.
Le principe est le même pour le signalement. « Après avoir appuyé sur le bouton « Signaler », les modérateurs de WhatsApp n’ont pas accès à toutes vos données et ne les collectent pas », ajoute l’expert de Kaspersky. Les modérateurs de la messagerie reçoivent les informations fournies par la personne qui émet l’alerte, seulement après leur signalement. Cependant, « il n’y a pas encore de preuve technique concernant cette allégation », nuance l’éditeur russe, qui ne se base que sur les conditions générales de WhatsApp, dont on a tous à l’esprit les récents remous.
Une communication en ligne 100 % privée, ça n’existe tout simplement pas
Alors évidemment, cette révélation découlant de la modération des conversations ou comptes signalés fait remonter à la surface les problèmes de confidentialité de la messagerie du groupe Facebook. Déjà en juin dernier, le stockage d’une partie des conversations auprès de services tiers fut pointé du doigt, avec les potentielles conséquences que l’on a tous en tête (fuite, monétisation des informations, etc.).
Kaspersky l’affirme : « Aucun type de communication en ligne ne peut être absolument 100 % privé ». Ce constat semble teinté aussi bien de gravité que de lucidité. « La présence d’un système de chiffrage la confiance dans une application sont deux choses complètement différentes », insiste-t-on du côté de l’éditeur. Se pose alors une question de confiance, celle accordée à la personne avec laquelle vous conversez sur WhatsApp. Mais là, c’est une autre question. « Même la discussion la plus secrète et la plus protégée peut être photographiée », ajoute Victor Chebyshev. Et là aussi, l’inverse est tout aussi vrai. Car le chiffrage de l’échange de bout en bout n’empêchera pas la personne avec laquelle vous échangez d’envoyer votre message à une autre.
La coïncidence veut qu’il y a à peine un peu plus d’une semaine, WhatsApp a été condamnée à une amende de 225 millions d’euros par la Data Protection Commission, la « CNIL irlandaise », qui reproche à la plateforme de ne pas remplir ses obligations de transparence (vis-à-vis du RGPD) en matière d’informations aux utilisateurs. WhatsApp et la confidentialité, un couple qui doit donc encore apprendre à se connaître.
Clubic
