Une backdoor dans le chiffrement de WhatsApp ?

newsthum_fb_whatsapp.jpg

WhatsApp est le service de messagerie le plus utilisé au monde. Plus d'un milliard de personnes l'utilisent pour communiquer, via l'application ou dans le navigateur. Il y a quelques mois, le service a activé le chiffrement de bout en bout par défaut. Cependant, depuis quelques semaines, des rumeurs circulent sur une backdoor, à savoir une vulnérabilité intentionnelle dans l'implémentation de ce chiffrement. Après la Journée européenne de la protection des données (Data Privacy Day), lors de laquelle l'importance de la protection des données et de la vie privée a été mise en lumière, BEE SECURE s'intéresse de plus près à la prétendue backdoor sur WhatsApp. Normalement, la communication chiffrée assure à ce que personne à part le destinataire souhaité ne puisse lire le message, y compris les services secrets, les hackeurs ou toute autre personne non autorisée. En règle générale, elle est donc une garantie pour la protection des données.

Pour comprendre la polémique, il faut d'abord comprendre ce que représente la vulnérabilité dans le chiffrement de WhatsApp. Dans la façon dont WhatsApp chiffre les messages, chaque usager doit disposer d'une clé publique. Celle-ci doit être échangée avec tout autre usager, avant de pouvoir communiquer de manière chiffrée. Sur WhatsApp, cet échange est automatique. La clé doit parfois être changée, par exemple lors d'une déconnexion abrupte. Une backdoor profite justement de ce renouvellement de clé.  Par défaut, WhatsApp est paramétré de sorte qu'il fait automatiquement confiance aux nouvelles clés. Lorsqu'un message a déjà été envoyé, mais n'est pas encore arrivé chez le destinataire, les messages sont une nouvelle fois chiffrés avec la nouvelle clé. Ainsi, il serait possible pour WhatsApp et éventuellement pour les services secrets de lire le contenu des messages chiffrés sans que l'usager ne s'en rend compte. C'est que l'on appelle une attaque de l'homme au milieu (anglais : "man-in-the-middle").

Or, la vulnérabilité dans l'implémentation du chiffrement n'est pas un bug. Facebook, propriétaire de WhatsApp, a fait savoir qu'il était conscient du problème et qu'il y remédierait peut-être. Cependant, actuellement, aucune solution n'est recherchée activement. Différents autres experts écrivent aussi que la vulnérabilité ne serait pas un bug, mais plutôt une fonction. Open Whispers, les développeurs de la messagerie Signal, qui utilise le même chiffrement, se sont également exprimés. Bien que Signal ne soit pas concernée par cette vulnérabilité, elle ne pense pas non plus qu'il s'agisse d'une backdoor sur WhatsApp. Au contraire, le comportement de l'appli envers ses usagers serait plutôt rassurant. Quant à WhatsApp, le service de messagerie a fait savoir qu'il ne mettait pas de portes dérobées à disposition des services secrets. Cependant, dans la plupart des cas, il est tout simplement interdit de parler de tels arrangements avec les services secrets (mot clé : "gag order").

Sur WhatsApp, il est possible de visualiser les clés publiques de ses partenaires de communication et de les comparer entre elles. En revanche, il est impossible de savoir si une conversation a été compromise dans le passé. Pour se protéger des attaques de l'homme au milieu, il est possible d'activer les "notifications de sécurité". Dans ce cas, l'usager est notifié lorsque la clé change. Pour être sûr que la conservation n'a pas été détournée, de nouvelles clés devraient à chaque fois être vérifiées via un autre moyen de communication.

Conclusion : nous ne savons pas à cent pour cent si la vulnérabilité dans l'implémentation du chiffrement sur WhatsApp est une vulnérabilité intentionnelle – ou seulement une fonction pour éviter de semer la confusion chez les usagers quant au chiffrement compliqué. En ce qui concerne WhatsApp, plusieurs autres problèmes de confidentialité existent, notamment en rapport avec l'échange des données avec Facebook. Raison pour laquelle il peut être utile de s'intéresser à d'autres alternatives sûres à WhatsApp : BEE SECURE a publié sur ce thème un article et un podcast.

Sources :