Non, WhatsApp n'expose pas vos communications

La polémique sur la sécurité de la messagerie WhatsApp continue d'enfler. Petit rappel des faits. En avril dernier, le chercheur en sécurité Tobias Boelter estime avoir mis la main sur une vulnérabilité importante dans le logiciel, permettant à une agence gouvernementale d'espionner dans certains cas les conversations des utilisateurs.

En effet, supposons qu'un utilisateur envoie un message à un ami, mais que ce dernier ne soit pas connecté. Le message n'est donc pas délivré. Un attaquant ayant accès aux serveurs de WhatsApp peut alors envoyer à l'auteur du message une nouvelle clé de chiffrement en usurpant l'identité du destinataire. L'application, dans ce cas, renvoie automatiquement le message en le chiffrant avec la nouvelle clé, ce qui permettra à l'attaquant de lire le contenu. L'auteur ne peut pas empêcher le renvoi du message, car il n'est averti du changement de clé qu'après coup.

Epinglé par le Guardian

Selon Tobias Boelter, l'application Signal – qui utilise le même protocole de chiffrement que WhatsApp – ne souffre pas de cette vulnérabilité. Dans la même situation, l'auteur est notifié d'un éventuel changement de clé avant le renvoi du message. Il doit même valider un écran d'alerte avant de pouvoir continuer.

Cette faille n'étant toujours pas corrigée à ce jour, les journalistes du Guardian ont épinglé WhatsApp dans un article datant du vendredi 13 janvier, estimant que l'application offrait de facto une porte dérobée ("backdoor") aux agences gouvernementales. Ce que l'éditeur a évidemment nié. Moxie Marlinspike, créateur du protocole de chiffrement Signal et gourou en sécurité informatique, vient également de donner son avis sur la question. Pour lui, il n'y a pas lieu de parler de porte dérobée, car "toute tentative d'interception peut être détectée par l'envoyeur".

En effet, dans le scénario décrit précédemment, l'auteur du message reçoit bien une alerte sur le changement de clé (à condition d'avoir coché l'option sur la notification des changements de clés, évidemment). Il peut alors vérifier l'authenticité de la clé avec le destinataire et, le cas échéant, se rendre compte de la supercherie. Pour une agence gouvernementale qui souhaite rester discrète dans son action de surveillance, un tel dispositif serait donc plutôt risqué, même si cette vérification est sans doute assez rarement effectuée par les utilisateurs.

Beaucoup de bruit pour pas grand chose

Que faut-il retenir de cette histoire? Parler d'une "backdoor" dans WhatsApp semble largement exagéré. Le chiffrement de bout en bout est un excellent moyen de protéger ses communications, mais cette technologie n'est pas non plus parfaite. Le risque d'une interception existe toujours, même avec ce type de technologie. Ce qui est important, c'est que les tentatives d'interception puissent être détectées, ce qui est bien le cas, que ce soit avec WhatsApp ou avec Signal. Les vrais paranos se tourneront plutôt vers cette dernière application qui, somme toute, apporte quelques garde-fous supplémentaires.