WhatsApp améliore la sécurité de son application Web, mais en fait-il assez?
WhatsApp a été critiqué ce mois-ci pour avoir demandé aux utilisateurs de consentir au partage de données avec Facebook d’ici le 8 février afin de continuer à utiliser l’application.
L’application a récemment prolongé ce calendrier pour mettre la politique en vigueur le 15 mai, donnant à l’application plus de temps pour convaincre les utilisateurs que leurs données sont entre de bonnes mains malgré les antécédents plus que douteux de Facebook.
Aujourd’hui, nous commençons à déployer une nouvelle fonctionnalité de sécurité pour WhatsApp Web et Desktop: le déverrouillage du visage et des empreintes digitales lors de la liaison d’appareils.
WhatsApp ne voit pas votre visage ou vos données d’empreintes digitales.
Chats pour votre 👀 uniquementhttps: //t.co/qR3zsexzfj pic.twitter.com/Ei5G35MPpA
– Whatsapp whatsapp) 28 janvier 2021
Cette semaine, WhatsApp a révélé sur Twitter qu’il augmenterait la sécurité de ses applications de bureau et Web.
À l’avenir, les utilisateurs de bureau avec des téléphones compatibles seront invités à confirmer leur identité avec leur visage ou leur empreinte digitale avant de scanner le code QR comme d’habitude pour lier un compte WhatsApp sur le Web.
Selon l’application, cela limitera la possibilité que quelqu’un d’autre dans votre maison ou votre lieu de travail puisse relier des appareils à votre compte WhatsApp à votre insu. WhatsApp a également rassuré les utilisateurs que le processus d’authentification du visage et des empreintes digitales a lieu sur l’appareil et que l’application ne peut pas accéder aux données biométriques stockées sur les téléphones de ses utilisateurs elle-même.
Nous avons contacté des experts en sécurité de Kaspersky et F-Secure pour savoir si WhatsApp fait suffisamment pour protéger nos données. Voici ce qu’ils ont dit.
«Le dernier outil de confidentialité de Whatsapp a pour objectif de sécuriser l’accès aux versions de bureau et Web de la plate-forme de messagerie», a déclaré David Emm, chercheur principal en sécurité chez Kaspersky.
«Désormais, pour se connecter, les utilisateurs doivent déverrouiller leur téléphone et scanner le code QR, fournissant ainsi un deuxième facteur d’authentification. Étant donné que WhatsApp vous oblige à utiliser Touch ou Face ID pour ce faire, cela empêchera les acteurs non autorisés d’accéder à WhatsApp Desktop ou WhatsApp Web, même s’ils ont obtenu l’accès à votre mobile. Cela rend la plate-forme plus sûre, car en théorie, seul le propriétaire de l’appareil pourra se connecter sur le Web. Cependant, il convient de noter que si quelqu’un d’autre a accès à votre téléphone, il peut toujours accéder à WhatsApp sur l’appareil lui-même, car il n’y a pas de processus d’authentification à deux facteurs (2FA) pour l’application.
«C’est formidable de voir les processus 2FA commencer à être utilisés dans les plates-formes de communication pour sécuriser les détails personnels et les conversations, mais il en faut beaucoup plus pour que les consommateurs puissent être sûrs que leurs données sont entièrement sécurisées».
Le chercheur principal en défense tactique de F-Secure, Jarno Niemela, a souligné d’autres problèmes liés au déverrouillage du visage et des empreintes digitales. À savoir, que la sécurité de ces fonctionnalités dépend fortement de l’appareil sur lequel elles s’exécutent et de l’emplacement de l’utilisateur.
«Étant donné que WhatsApp ne peut utiliser que les capacités biométriques fournies par le système d’exploitation d’un téléphone, le niveau de sécurité technique dépend du téléphone de l’utilisateur», a expliqué Niemela.
«Par exemple, dans les iPhones, la reconnaissance faciale utilise Apple FaceID, qui est aussi sûr que la reconnaissance faciale peut l’être. Mais même avec des appareils de la plus haute qualité, l’utilisation de la biométrie est une question de sécurité opérationnelle.Par conséquent, son utilisation dépendra de qui vous êtes et de qui vous cible.
«Il y a aussi des différences culturelles en jeu ici, les utilisateurs qui sont basés dans un pays où l’on peut faire confiance aux fonctionnaires et où il n’y a pas de risque de coercition, peuvent utiliser la biométrie de manière plutôt sûre, alors que quelqu’un dans un pays autoritaire peut trouver que l’identification biométrique est un handicap.
«Pour la biométrie des empreintes digitales, les consommateurs doivent être conscients qu’ils laissent des empreintes digitales partout, donc utiliser un doigt qui laisse rarement des empreintes telles que le petit doigt peut être une bonne idée.
«La biométrie doit être utilisée pour une utilisation facile, mais il est important de comprendre qu’une fois que vos données biométriques sont compromises, elles ne peuvent pas être modifiées, il serait donc idéal d’utiliser des contrôles de sécurité supplémentaires».
Entre-temps, les applications de messagerie concurrentes ont profité de la perte de confiance des utilisateurs de WhatsApp en facilitant plus que jamais la migration vers leurs services. Signal a vu une augmentation du nombre de nouveaux utilisateurs rejoignant sa plate-forme en janvier, tandis que Telegram a permis de transférer les discussions WhatsApp existantes vers son service crypté.
