Avez-vous vu le dernier message de WhatsApp concernant son chiffrement de bout en bout ?
Il renvoie à son centre d'aide, où l'entreprise affirme que la protection de la vie privée et la sécurité sont "dans son ADN". Cela semble rassurant... peut-être trop.
Mais que couvre réellement le chiffrement de bout en bout de WhatsApp ? Et surtout, que laisse-t-il à découvert ?
Décortiquons les petits caractères et soulignons les points essentiels auxquels les utilisateurs doivent faire attention lorsqu'il s'agit de protéger leurs données et leur vie privée.
Commençons par le commencement. Le chiffrement de bout en bout est une méthode de sécurité qui garantit que les messages et les appels sont protégés contre tout accès non autorisé. Cela signifie que personne, pas même le fournisseur de l'application, ne peut lire vos messages.
Un examen plus approfondi de la documentation de WhatsApp révèle une vérité plus nuancée : le cryptage de bout en bout n'est pas synonyme de confidentialité totale, et il n'est certainement pas synonyme de protection totale.
Selon la FAQ de WhatsApp sur la source de chiffrement, voici ce qui est couvert par le chiffrement de bout en bout :
Ces contenus sont cryptés à l'aide du protocole Signal et ne peuvent être décryptés que par l'expéditeur et le destinataire. Jusqu'ici, tout va bien.
La plupart des utilisateurs pensent que l'expression "chiffré de bout en bout" signifie que toute activité sur l'application est sécurisée. Mais c'est loin d'être le cas. Les données suivantes ne sont pas cryptées:
Ces métadonnées peuvent être, et sont souvent, enregistrées et stockées sur des serveurs. Bien que WhatsApp affirme "limiter" ces données, elles sont tout de même collectées et ne sont pas protégées par l'E2EE.
À garder à l'esprit : Les métadonnées peuvent brosser un tableau extrêmement détaillé de votre comportement, de vos contacts et de vos habitudes, sans qu'il soit nécessaire de lire le contenu du message.
Si vous sauvegardez vos messages WhatsApp sur Google Drive ou iCloud, ces sauvegardes ne sont pas protégées par le chiffrement de bout en bout de WhatsApp, à moins que vous n'activiez explicitement les sauvegardes chiffrées, ce qui est désactivé par défaut.
Vous devez activer manuellement les sauvegardes cryptées et choisir un mot de passe ou une clé à 64 chiffres. Même dans ce cas, cette fonction n'est pas plus sûre que les protections de la plateforme en nuage et les utilisateurs ne se rendent souvent pas compte qu'ils utilisent des sauvegardes non cryptées par défaut.
WhatsApp Payments, disponible dans certaines régions, permet aux utilisateurs d'envoyer et de recevoir de l'argent. Cependant, les détails de la transaction (expéditeur, destinataire, etc.) ne sont pas connus :
N'oubliez pas : Même dans le cadre d'une discussion privée, votre activité financière peut être visible par des services externes et potentiellement vulnérable à la compromission.
Lorsque vous envoyez un message à une entreprise sur WhatsApp :
N'oubliez pas : Le chiffrement de bout en bout ne s'applique plus une fois que vos données entrent dans des systèmes externes ou des outils commerciaux.
Le chiffrement de bout en bout est un outil essentiel, mais il ne constitue pas une garantie globale de confidentialité. Dans le cas de WhatsApp, le chiffrement ne s'applique qu'au contenu du message, et non à l'écosystème qui l'entoure.
Si vous utilisez WhatsApp pour des communications sensibles, qu'elles soient personnelles, professionnelles ou même financières, vous devez comprendre ce qui est exposé :
Il est tout aussi important de comprendre ce qui n'est pas chiffré que ce qui l'est.
Si vous prenez au sérieux la protection des données, allez au-delà du marketing et posez les questions suivantes : Quelles sont les autres données collectées ? Où sont-elles stockées ? Qui d'autre y a accès ?
Les réponses pourraient vous surprendre.
Il est essentiel de rappeler que les outils tels que WhatsApp et Signal ne sont pas conçus à des fins professionnelles, mais plutôt pour un usage grand public. Ils ne disposent pas des fonctionnalités essentielles pour assurer la confidentialité, la protection et la conformité des données des entreprises et des administrations. Si vous essayez d'utiliser ce type d'outils pour sécuriser vos communications professionnelles, vous risquez de vous retrouver avec votre propre version du Signalgate.
Les communications chiffrées grand public ne sont pas l'apanage de Signal et de WhatsApp. Même les outils qui se décrivent comme adaptés aux entreprises et aux gouvernements peuvent présenter des lacunes importantes qui les placent au même niveau que les outils grand public. Par exemple, Element laisse le chiffrement de bout en bout désactivé par défaut dans certains paramètres de groupe, ce qui signifie qu'il est facile d'oublier de l'activer, laissant les communications non protégées. Matrix est également (in)célèbre pour le niveau de spam auquel les utilisateurs sont confrontés, en raison d'une approche quelque peu laxiste dans l'application des normes de sécurité entre les comptes.
La leçon à tirer est la suivante : si vous recherchez des communications sécurisées qui protègent les données sensibles de votre organisation, vous avez besoin d'une solution conçue dès le départ pour atteindre directement cet objectif. C'est aussi la raison pour laquelle vous devriez en savoir plus sur Wire, la plateforme de communications sécurisées la plus avancée et la plus évolutive du secteur, conçue pour et utilisée par les plus grandes entreprises et agences gouvernementales du monde.