Microsoft et le chiffrement de bout en bout : limites et risques pour la sécurité
Le chiffrement E2EE de Microsoft Teams n’est ni complet ni moderne, exposant les entreprises réglementées à des risques de sécurité et de conformité.
Le chiffrement E2EE de WhatsApp protège vos messages, mais pas vos métadonnées ni vos sauvegardes. Découvrez les risques cachés pour votre confidentialité.
Avez-vous vu le dernier message de WhatsApp concernant son chiffrement de bout en bout ?
Il renvoie à son centre d'aide, où l'entreprise affirme que la protection de la vie privée et la sécurité sont "dans son ADN". Cela semble rassurant... peut-être trop.
Mais que couvre réellement le chiffrement de bout en bout de WhatsApp ? Et surtout, que laisse-t-il à découvert ?
Décortiquons les petits caractères et soulignons les points essentiels auxquels les utilisateurs doivent faire attention lorsqu'il s'agit de protéger leurs données et leur vie privée.
Qu'est-ce que le chiffrement de bout en bout ?
Commençons par le commencement. Le chiffrement de bout en bout est une méthode de sécurité qui garantit que les messages et les appels sont protégés contre tout accès non autorisé. Cela signifie que personne, pas même le fournisseur de l'application, ne peut lire vos messages.
Qu'est-ce qui est chiffré sur WhatsApp ?
Un examen plus approfondi de la documentation de WhatsApp révèle une vérité plus nuancée : le cryptage de bout en bout n'est pas synonyme de confidentialité totale, et il n'est certainement pas synonyme de protection totale.
Selon la FAQ de WhatsApp sur la source de chiffrement, voici ce qui est couvert par le chiffrement de bout en bout :
- Messages texte
- Photos et vidéos
- Messages vocaux
- Appels
- Mises à jour du statut
- Partage d'emplacement
- Documents
Ces contenus sont cryptés à l'aide du protocole Signal et ne peuvent être décryptés que par l'expéditeur et le destinataire. Jusqu'ici, tout va bien.
Mais voici ce qui n'est pas chiffré
La plupart des utilisateurs pensent que l'expression "chiffré de bout en bout" signifie que toute activité sur l'application est sécurisée. Mais c'est loin d'être le cas. Les données suivantes ne sont pas cryptées:
1. Métadonnées
- Personne à qui vous avez envoyé un message
- La date d'envoi du message
- Fréquence des communications
- Informations sur l'appareil et adresse IP
- Votre numéro de téléphone
- Le numéro de téléphone du destinataire
Ces métadonnées peuvent être, et sont souvent, enregistrées et stockées sur des serveurs. Bien que WhatsApp affirme "limiter" ces données, elles sont tout de même collectées et ne sont pas protégées par l'E2EE.
À garder à l'esprit : Les métadonnées peuvent brosser un tableau extrêmement détaillé de votre comportement, de vos contacts et de vos habitudes, sans qu'il soit nécessaire de lire le contenu du message.
2. Sauvegardes
Si vous sauvegardez vos messages WhatsApp sur Google Drive ou iCloud, ces sauvegardes ne sont pas protégées par le chiffrement de bout en bout de WhatsApp, à moins que vous n'activiez explicitement les sauvegardes chiffrées, ce qui est désactivé par défaut.
Vous devez activer manuellement les sauvegardes cryptées et choisir un mot de passe ou une clé à 64 chiffres. Même dans ce cas, cette fonction n'est pas plus sûre que les protections de la plateforme en nuage et les utilisateurs ne se rendent souvent pas compte qu'ils utilisent des sauvegardes non cryptées par défaut.
3. Paiements et transactions
WhatsApp Payments, disponible dans certaines régions, permet aux utilisateurs d'envoyer et de recevoir de l'argent. Cependant, les détails de la transaction (expéditeur, destinataire, etc.) ne sont pas connus :
- Les détails de la transaction (expéditeur, destinataire, montant, horodatage) ne sont pas chiffrés de bout en bout.
- WhatsApp peut partager des données avec des institutions financières tierces
- Toutes les activités de paiement sont soumises aux politiques de partage de données de la plateforme avec Meta.
N'oubliez pas : Même dans le cadre d'une discussion privée, votre activité financière peut être visible par des services externes et potentiellement vulnérable à la compromission.
4. Messagerie d'entreprise
Lorsque vous envoyez un message à une entreprise sur WhatsApp :
- Les messages peuvent être stockés en dehors des serveurs de WhatsApp
- Les entreprises peuvent faire appel à des fournisseurs tiers pour gérer les messages et y répondre.
- Ces messages peuvent être stockés en clair par l'entreprise ou le fournisseur.
N'oubliez pas : Le chiffrement de bout en bout ne s'applique plus une fois que vos données entrent dans des systèmes externes ou des outils commerciaux.
5. Informations sur les groupes et données de profil
- L'appartenance à un groupe (qui en fait partie) n'est pas cryptée.
- La photo de profil, les informations personnelles et le statut en ligne sont publics par défaut.
- Les groupes WhatsApp peuvent être découverts s'ils sont ajoutés via des liens d'invitation, et sont parfois même indexés par les moteurs de recherche en cas de mauvaise manipulation.
La confidentialité ne s'arrête pas au cryptage
Le chiffrement de bout en bout est un outil essentiel, mais il ne constitue pas une garantie globale de confidentialité. Dans le cas de WhatsApp, le chiffrement ne s'applique qu'au contenu du message, et non à l'écosystème qui l'entoure.
Si vous utilisez WhatsApp pour des communications sensibles, qu'elles soient personnelles, professionnelles ou même financières, vous devez comprendre ce qui est exposé :
- Les métadonnées racontent des histoires sans avoir besoin de messages
- Les sauvegardes et les paiements élargissent la surface d'attaque
- Les tiers peuvent compromettre la confiance, même indirectement
Il est tout aussi important de comprendre ce qui n'est pas chiffré que ce qui l'est.
Si vous prenez au sérieux la protection des données, allez au-delà du marketing et posez les questions suivantes : Quelles sont les autres données collectées ? Où sont-elles stockées ? Qui d'autre y a accès ?
Les réponses pourraient vous surprendre.
Pas sûr pour le travail
Il est essentiel de rappeler que les outils tels que WhatsApp et Signal ne sont pas conçus à des fins professionnelles, mais plutôt pour un usage grand public. Ils ne disposent pas des fonctionnalités essentielles pour assurer la confidentialité, la protection et la conformité des données des entreprises et des administrations. Si vous essayez d'utiliser ce type d'outils pour sécuriser vos communications professionnelles, vous risquez de vous retrouver avec votre propre version du Signalgate.
Les communications chiffrées grand public ne sont pas l'apanage de Signal et de WhatsApp. Même les outils qui se décrivent comme adaptés aux entreprises et aux gouvernements peuvent présenter des lacunes importantes qui les placent au même niveau que les outils grand public. Par exemple, Element laisse le chiffrement de bout en bout désactivé par défaut dans certains paramètres de groupe, ce qui signifie qu'il est facile d'oublier de l'activer, laissant les communications non protégées. Matrix est également (in)célèbre pour le niveau de spam auquel les utilisateurs sont confrontés, en raison d'une approche quelque peu laxiste dans l'application des normes de sécurité entre les comptes.
La leçon à tirer est la suivante : si vous recherchez des communications sécurisées qui protègent les données sensibles de votre organisation, vous avez besoin d'une solution conçue dès le départ pour atteindre directement cet objectif. C'est aussi la raison pour laquelle vous devriez en savoir plus sur Wire, la plateforme de communications sécurisées la plus avancée et la plus évolutive du secteur, conçue pour et utilisée par les plus grandes entreprises et agences gouvernementales du monde.
