Lorsque l’on utilise WhatApp, on le fait en sachant que les conversations sont sécurisées, c’est en tout cas l’argument mis en avant par l’entreprise, qui évoque le chiffrement des messages de bout en bout. Pourtant, il semble qu’une porte dérobée permet de passer outre le chiffrement des échanges !
Une porte dérobée sur WhatsApp ?
C’est le journal The Guardian qui a lancé l’alerte, en expliquant qu’une porte dérobée ou un backdoor permet d’accéder aux échanges d’une conversation en clair, en interceptant les données avec une autre clé de chiffrement. Voilà qui devrait une nouvelle fois semer le doute dans l’esprit de beaucoup d’internautes, qui pensent leurs communications sécurisées, ce qui est loin d’être toujours le cas.
Le chiffrement de bout en bout était annoncé comme la solution la plus efficace et fiable contre la curiosité des agences gouvernementales et Facebook avait annoncé, que même lui ne pouvait pas accéder aux données, car il n’existait qu’une clé unique de cryptage détenue par l’utilisateur via son smartphone et que par conséquent personne ne pouvait accéder aux échanges sans ce précieux sésame.
Des experts ont toutefois mis en avant que lorsque l’on est en mode « hors ligne », WhatsApp est capable de générer une nouvelle clé afin de déchiffrer les messages, en vue de les réexpédier. Une opération qui est effectuée sans que l’expéditeur ou même le destinataire ne soit averti. Il est donc potentiellement possible à ce moment à l’entreprise ou à un tiers qui exploiterait une faille, d’accéder aux archives des messages.
Un backdoor pour certains, mais pas pour Facebook
Un point repris par Tobias Boelter, un chercheur en cryptographie de l’université de Californie à Berkley, qui a déclaré : « Si WhatsApp se voit demander par une agence gouvernementale de révéler ses messages archivés, il peut tout à fait donner accès [à ces archives] grâce aux changements dans les clés ».
Pour Facebook, il ne s’agit ni d’une faille, ni d’un backdoor et l’entreprise a expliqué : « Dans de nombreux pays, les gens changent fréquemment de carte Sim et d’appareil. Dans ces situations, nous souhaitons avant tout que les messages soient envoyés à destination et qu’ils ne soient pas perdus en route. ». L’entreprise explique qu’un avertissement de changement de clé, comme évoqué par The Guardian peut générer une notification, afin que l’utilisateur soit averti. Cette fonctionnalité se trouvant dans les paramètres de configuration du compte n’est simplement pas activée par défaut, il faut le faire manuellement…
