WhatsApp serait affect par une vulnrabilit critique pouvant permettre aux gouvernements de savoir quels utilisateurs communiquent entre eux. Le chiffrement de bout en bout des messages ne semble pas compromis, mais la vulnrabilit est lie aux mtadonnes (qui a contact qui, quand, etc.) collectes par l’application. Ces donnes ne sont pas chiffres, ce qui signifie qu’elles posent des risques de scurit. Elles peuvent tre captures et stockes par la plateforme elle-mme, si elle le souhaite, mais elles peuvent galement tre surveilles au niveau du rseau par les gouvernements ou les oprateurs disposant d’un accs appropri.
Un rapport publi le mois dernier par The Intercept rvle que l’quipe de scurit de WhatsApp a lanc en mars un avertissement interne au sujet d’un problme de scurit. Elle a fait remarquer que malgr le chiffrement puissant de l’application de messagerie prive, les utilisateurs restaient vulnrables une forme dangereuse de surveillance gouvernementale. Selon l’valuation des menaces, qui n’a jamais t publie par l’entreprise, le contenu des conversations entre les quelque deux milliards d’utilisateurs de l’application reste scuris. Le problme s’est toujours cach sous la surface brillante de WhatsApp.
L’quipe indique que les agences gouvernementales contournent le chiffrement de l’application pour savoir quels utilisateurs communiquent entre eux, connatre l’appartenance des groupes privs, et peut-tre mme leur localisation. WhatsApp devrait attnuer l’exploitation continue des vulnrabilits lies l’analyse du trafic permettant aux tats-nations de dterminer qui parle qui. Nos utilisateurs risque ont besoin de protections solides et viables contre l’analyse du trafic , aurait crit le groupe d’ingnieurs dans son analyse. Selon le rapport, WhatsApp ne serait peut-tre pas la seule messagerie concerne.
Il s’agit de deux questions distinctes. Mais elles ont en commun les mtadonnes. Ces donnes ne sont pas chiffres. Elles peuvent tre collectes et stockes par WhatsApp, s’il le souhaite. En outre, elles peuvent tre surveilles au niveau du rseau par les gouvernements ou les oprateurs disposant d’un accs appropri. Il s’agit d’aspirer des quantits stupfiantes de mtadonnes provenant de tout le monde, puis de rechercher des modles ; le travail permanent des agences de renseignement et de communication. WhatsApp a dclar publiquement que la plateforme collecte plusieurs types de mtadonnes.
Selon la politique de confidentialit de WhatsApp, la plateforme recueille des informations sur l’activit de l’utilisateur (y compris la faon dont il utilise leurs services), la faon dont il interagit avec d’autres utilisateurs de leurs services (y compris lorsque l’utilisateur recherche une socit et interagit avec elle), ainsi que l’heure, la frquence et la dure des activits de l’utilisateur. Elle ajoute que mme si l’utilisateur ne choisit pas d’utiliser leurs fonctions de localisation prcises, elle utilise les adresses IP et d’autres informations telles que les indicatifs rgionaux des numros de tlphone, pour estimer sa localisation gnrale.
C’est le premier des deux problmes. Si c’est WhatsApp qui collecte les donnes, il peut offrir une forme de protection aux utilisateurs. Cette protection disparat si l’analyse chappe son contrle. Selon des employs de WhatsApp : dans le contexte de la guerre en cours Gaza, l’avertissement de menace a soulev une possibilit inquitante parmi certains employs de Meta. Le personnel de WhatsApp met l’hypothse qu’Isral pourrait exploiter cette faille dans le cadre de son programme de surveillance des Palestiniens, un moment o la surveillance numrique les aide l dcider qui tuer dans la bande de Gaza .
WhatsApp a dclar qu’il ne stocke pas les journaux de messages une fois que les messages ont t livrs ni les journaux de transactions de ces messages livrs. Mais afin de rpondre une demande lgale valide, WhatsApp peut commencer collecter des journaux de messages et des journaux d’appels pour un utilisateur particulier, en indiquant le destinataire ou l’expditeur de la communication, l’heure laquelle elle a t transmise, l’adresse IP partir de laquelle elle a t transmise et le type de communication. Les gouvernements peuvent surveiller qui ils souhaitent en exigeant ces donnes de l’application.
Bien que le contenu de ces messages reste priv, il est inquitant de constater que tant d’autres donnes sensibles peuvent encore tre consultes et analyses. Cette histoire ne porte pas sur la collecte de ces donnes, mais sur la manire dont elles sont collectes et partages. WhatsApp affirme pouvoir collecter et stocker des mtadonnes tout en protgeant le contenu des conversations grce au chiffrement de bout en bout. De son ct, Signal affirme qu’il ne collecte pas les mtadonnes des utilisateurs. C’est l’une des raisons pour lesquelles de nombreux experts affirment que Signal est beaucoup plus sr.
L’autre problme est li l’analyse du trafic rseau. L’valuation montre comment les gouvernements peuvent utiliser leur accs l’infrastructure d’Internet pour surveiller quand et o les communications chiffres ont lieu, comme s’ils observaient un facteur transportant une enveloppe scelle. Cette vision du trafic national sur Internet est suffisante pour faire des dductions puissantes sur les individus qui conversent entre eux, mme si les sujets de leurs conversations restent un mystre. Cette surveillance permet d’analyser les adresses IP et d’autres identifiants pour tablir des schmas de trafic entre les individus.
L’alerte de l’quipe de scurit de WhatsApp dit : mme en supposant que le chiffrement de WhatsApp soit inviolable, l’valuation indique que des attaques continues de type « collecte et corrlation » briseraient le modle de protection de la vie prive que nous avions prvu . Ce type de traitement des donnes permet de relever les empreintes numriques des communications. Il est possible, par exemple, de relier un tlphone jetable une personne en se basant sur les schmas de communication uniques, condition de pouvoir capturer les mtadonnes. Selon les experts, il s’agit l d’une proccupation srieuse.
En rponse au rapport de The Intercept, Christina LoNigro, porte-parole de WhatsApp, a dclar : WhatsApp n’a pas de portes drobes et nous n’avons aucune preuve d’une vulnrabilit dans le fonctionnement de WhatsApp . Le directeur de WhatsApp, Will Cathcart, a fustig les allgations du rapport. Il a dclar : ce rapport risque de semer la confusion chez les personnes qui comptent sur le chiffrement de bout en bout. Nous dbattons en interne des menaces possibles ou mergentes, parfois de manire assez nergique, car c’est ainsi que nous trouvons des moyens d’ajouter encore plus de scurit WhatsApp .
Meta semble considrer qu’il ne s’agit pas d’une vulnrabilit de WhatsApp, alors que l’avis interne de l’quipe charge de la scurit de l’application appelle l’entreprise attnuer l’exploitation en cours des vulnrabilits de l’analyse du trafic. Cette histoire suggre que les agences gouvernementales ont trouv un moyen de siphonner ou d’intercepter les mtadonnes de WhatsApp et de les analyser grande chelle. Ce qui suscite des proccupations majeures en matire de scurit et de protection de la vie prive. Cette forme de surveillance reprsente une menace pour les voix discordantes, les journalistes, et bien d’autres.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des risques de scurit lis la collecte de mtadonnes par WhatsApp ?
WhatsApp peut-il collecter des mtadonnes tout en assurant la scurit et la vie prive des utilisateurs ?
Que pensez-vous de la comparaison entre Signal et WhatsApp ? Quelle plateforme est la plus sre selon vous ?
Voir aussi