WhatsApp est-il chiffré de bout en bout et est-ce important pour la confidentialité?
Les modifications apportées par WhatsApp à sa politique de confidentialité en 2021 ont fait la une des journaux et ont provoqué une migration massive des utilisateurs loin de l’application. Sa nouvelle explication des termes semblait montrer qu’elle partagerait des informations avec Facebook, qui a acheté l’application en février 2014.
Sommaire
Les limites du chiffrement de bout en bout
Vous vous demandez peut-être pourquoi cela est important si les données que vous envoyez via l’application sont toujours chiffrées de bout en bout. Cela ne signifie-t-il pas que vos données sont sécurisées? Eh bien, oui et non.
WhatsApp utilise toujours le cryptage de bout en bout, mais il collecte plus de métadonnées sur vous que des applications comme Signal. Le cryptage de WhatsApp ne vous protège pas de ce type de collecte de données – et toutes ces métadonnées sont désormais partagées avec la société mère de WhatsApp, Facebook.
Cela signifie que si les serveurs sur lesquels Facebook stocke vos informations sont violés, des données sensibles pourraient encore être compromises. Et l’annonce récente d’une violation de 500 millions d’utilisateurs n’inspire pas exactement confiance dans les mesures de sécurité des données de Facebook.
Pour rappel, le cryptage de bout en bout consiste à sécuriser les informations envoyées entre deux appareils à partir du moment où elles sont envoyées jusqu’au moment où elles sont reçues. Seules les personnes impliquées dans le message peuvent voir ce qu’il dit, même l’entreprise hébergeant l’application ne dispose pas des clés pour déverrouiller les données.
WhatsApp, Facebook et collecte de données
Les utilisateurs ont commencé à se méfier de la relation entre WhatsApp et Facebook en 2016, lorsqu’il est apparu que WhatsApp partageait les numéros de téléphone et les données analytiques des utilisateurs avec Facebook par défaut, contredisant la position précédente de l’entreprise sur la confidentialité des données des utilisateurs. Vous pouvez toujours protéger vos données, mais uniquement en vous désinscrivant manuellement.
En janvier 2021, WhatsApp a poussé cela plus loin en publiant des modifications de sa politique de confidentialité, rendant le partage de données avec Facebook obligatoire pour ses utilisateurs. Les utilisateurs avaient initialement jusqu’au 8 février pour accepter la nouvelle politique, mais la date limite a depuis été prolongée jusqu’au 15 mai.
Si les utilisateurs n’acceptent pas les nouvelles conditions d’ici là, ils ne pourront pas lire ni envoyer de messages sur WhatsApp. Ils pourront toujours recevoir des appels et des notifications pendant «une courte période», mais le compte sera considéré comme inactif. WhatsApp a averti les utilisateurs que leur politique sur les comptes inactifs – qui consiste à les supprimer après 120 jours – s’appliquera, en déclarant:
«Vous pouvez toujours accepter les mises à jour après le 15 mai. Notre politique relative aux utilisateurs inactifs s’appliquera… Pour maintenir la sécurité, limiter la conservation des données et protéger la confidentialité de nos utilisateurs, les comptes WhatsApp sont généralement supprimés après 120 jours d’inactivité. »
Parallèlement à cette annonce, il y avait le lancement de la nouvelle fonctionnalité «étiquette de confidentialité» d’Apple. La fonctionnalité a été mise en service à la fin de 2020, obligeant les applications répertoriées dans l’App Store à afficher les données qu’elles collectent sur les utilisateurs. Les utilisateurs peuvent désormais voir clairement que, bien que WhatsApp utilise le cryptage de bout en bout par défaut sur tous les messages, il collecte toujours des métadonnées, y compris des données de localisation, des contacts, des données d’identification (telles que l’ID utilisateur) et des achats. Et il partage toutes ces données avec Facebook.
La liste des métadonnées de Facebook Messenger est encore plus longue et Facebook prévoit de l’intégrer à WhatsApp dans un proche avenir. Ainsi, même si les messages peuvent rester privés, il existe encore de nombreuses informations d’identification sur les utilisateurs qui pourraient être compromises en cas de violation de données.
Tout cela a conduit les utilisateurs à abandonner WhatsApp en masse pour d’autres applications de messagerie offrant plus de sécurité, comme Signal et Telegram.
WhatsApp contre Signal et Telegram
La plupart des gens qui quittent WhatsApp accèdent à l’une des deux applications suivantes: Signal et Telegram. De ces deux, Signal est celui qui offre une meilleure sécurité.
L’interface utilisateur de Signal est similaire à ce que les utilisateurs de WhatsApp savent, ce qui en fait un changement facile. Il utilise également le cryptage de bout en bout par défaut sur tous les messages. Telegram uniquement de bout en bout crypte les «chats secrets» en tête-à-tête, et vous devez le configurer manuellement de cette façon.
Signal ne nécessite également qu’une seule chose de la part des utilisateurs: un numéro de téléphone. Et il ne tente pas de lier ce numéro de téléphone à votre identité. Il ne collecte pas de métadonnées comme WhatsApp et Facebook Messenger, et vos messages sont tous stockés directement sur votre appareil plutôt que sur un serveur cloud.
Les conversations de groupe sont également cryptées de bout en bout avec Signal, ce qui n’est pas proposé aux utilisateurs de Telegram. Les conversations secrètes Telegram ne peuvent être qu’entre deux personnes et toutes les autres messages via l’application sont stockées sur les serveurs cloud de l’entreprise.
Signal est également géré par une entreprise financée par des dons, ce qui signifie qu’elle n’est pas incitée à collecter des données sur l’utilisation des applications par les annonceurs. Le code sur lequel ils basent leur cryptage est open source. Dans l’ensemble, Signal a un engagement beaucoup plus fort envers la confidentialité des utilisateurs que WhatsApp et Facebook. Et cet engagement a suscité un tel afflux d’utilisateurs que Le signal s’est temporairement écrasé.
Réponse de WhatsApp
Comme prévu, WhatsApp a lancé une campagne de contrôle des dommages pour tenter de rassurer les utilisateurs sur le fait que leurs données sont toujours en sécurité. La société s’appuie fortement sur le fait qu’elle utilise toujours le cryptage de bout en bout par défaut pour apaiser les problèmes de confidentialité.
Dans un éditorial pour Wired intitulé «Le chiffrement n’a jamais été plus essentiel ou menacé», Will Cathcart, responsable de WhatsApp, écrit:
«Au cours des cinq dernières années, WhatsApp a livré en toute sécurité plus de 100 billions de messages à plus de 2 milliards d’utilisateurs. Au plus fort de la pandémie mondiale de verrouillage, le cryptage de bout en bout protégeait les pensées les plus personnelles des gens lorsqu’il était impossible de se réunir en personne.
Cathcart poursuit en soulignant que les forces de l’ordre et les grandes entreprises exercent une pression accrue sur les entreprises pour qu’elles transmettent les données privées des utilisateurs ou créent des portes dérobées qu’elles pourront utiliser pour accéder aux données des utilisateurs, comme les messages, à l’avenir.
Mais cela ne semble pas être ce qui préoccupe les utilisateurs de WhatsApp – ils s’inquiètent des métadonnées collectées, quelle que soit la messagerie cryptée de bout en bout. Et avec la collecte de métadonnées désormais nécessaire pour utiliser l’application, les gens ne seront peut-être plus aussi disposés à lui faire confiance.
WhatsApp travaillerait sur des sauvegardes iCloud cryptées qui seraient protégées par mot de passe. Une fois la fonctionnalité mise en ligne, les utilisateurs d’iCloud pourraient effectuer des sauvegardes cryptées de leurs données WhatsApp qui nécessiteraient un mot de passe pour y accéder.
Étant donné que les utilisateurs pourraient crypter leurs données avant de les télécharger sur le cloud, ce serait théoriquement plus sûr. La mise à jour est toujours en version bêta au moment de la rédaction de cet article, mais si WhatsApp peut la lancer assez tôt, elle pourra peut-être regagner une partie de sa base d’utilisateurs.