Blog

Devriez-vous abandonner WhatsApp pour une messagerie plus privée ?

La communauté de la sécurité a plongé dans le chaos aujourd'hui lorsqueLe gardiena publié un rapport affirmant que le prétendu cryptage de bout en bout de WhatsApp contenait une grave vulnérabilité qui permettrait à Facebook et aux gouvernements complices d’espionner les conversations des utilisateurs.

Le gardienet les critiques ont qualifié la vulnérabilité d’abus massif de la confiance des utilisateurs. Pour défendre WhatsApp, d'autres experts en sécurité argumenterLe gardienLe rapport est une exagération alarmiste.

La vérité se situe probablement quelque part entre les deux. Nous allons essayer de décomposer le débat et de donner un certain contexte sur ce qui se passe.

Dois-je arrêter d’utiliser WhatsApp ?

La vulnérabilité ne vous exposera pas à une surveillance massive du gouvernement en raison des efforts nécessaires pour l’exploiter. Ce n’est pas quelque chose qui peut être réalisé avec une collecte de données massive et à grande échelle. La personne moyenne n’a probablement rien à craindre.

Mais si vous êtes sérieusement préoccupé par le fait que le gouvernement vous cible en tant qu’individu, vous devriez probablement cesser d’utiliser WhatsApp jusqu’à ce que la vulnérabilité soit corrigée.

Là encore, si l’espionnage ciblé est quelque chose qui vous inquiète légitimement, alors vous ne devriez probablement pas utiliser en premier lieu des applications de proximité appartenant au plus grand réseau social américain financé par la publicité.

Voici quelques alternatives WhatsApp à considérer :

Signal

Signal est la référence en matière de messagerie cryptée. WhatsApp utilise le protocole Signal du même nom dans sa méthode de cryptage de bout en bout et a ajouté la vulnérabilité ultérieurement. Signal ne souffre pas de la même vulnérabilité que WhatsApp et n’a aucune vulnérabilité sérieuse connue à ce jour. Les clients sont publiés en tant que logiciels gratuits et open source, ce qui signifie qu'ils peuvent être audités par n'importe qui pour déceler des failles de sécurité (et cela a été le cas). Cependant, le protocole de cryptage lui-même n’est pas open source.

Télégramme

Telegram utilise un cryptage de bout en bout dans sa fonctionnalité « discussions secrètes » et est plus populaire que Signal, ce qui en fait une alternative plus probable car vos contacts l'utilisent peut-être déjà. Notez que Telegram n’est pas non plus totalement sans défauts. Certains analystes affirment qu'ils étaient capable d'accéder aux messages de discussion secrets en texte brut en attaquant à distance le téléphone d’un utilisateur. Ce n’est pas aussi grave que de pouvoir intercepter et décrypter un message lors de son transfert entre utilisateurs comme WhatsApp, mais cela vaut la peine d’y réfléchir.

Certes, si vous recherchez suffisamment sur Google, vous trouverez quelqu'un qui prétend avoir trouvé une vulnérabilité sur presque toutes les applications populaires.

Viber

Viber a mis en œuvre le cryptage de bout en bout peu de temps après WhatsApp. Au départ, c’était facultatif, mais c’est désormais activé par défaut. Au lieu d'utiliser le protocole Signal, Viber a opté pour certains protocoles open source avec ses propres ajouts de sécurité. Le aperçu de la sécurité sur le site Web de l'entreprise indique : « Le protocole de Viber utilise les mêmes concepts du protocole « double cliquet » utilisé dans l'application Signal d'Open Whisper Systems. Cependant, l'implémentation de Viber a été développée à partir de zéro et ne partage pas le code source de Signal.

Cyber-poussière

Cyber Dust est une application de messagerie cryptée vantée par le propriétaire des Dallas Mavericks, Mark Cuban, qui supprime les messages 30 secondes après leur ouverture. Les fonctionnalités s'apparentent à celles de Snapchat et mettent fortement l'accent sur le partage, ce qui semble contre-intuitif pour une application de messagerie sécurisée. Néanmoins, les messages sont chiffrés de bout en bout et ne sont jamais stockés sur le cloud. Il ne permet pas aux utilisateurs de prendre des captures d’écran des conversations.

ChatSécurisé

Si vous souhaitez une application de messagerie cryptée de bout en bout véritablement open source, ChatSecure est faite pour vous. Disponible pour iOS et Android, l'application s'adresse aux journalistes et à leurs sources. Deux protocoles de cryptage sont disponibles : la messagerie off-the-record (OTR) et le protocole extensible de messagerie et de présence (XMPP).

Quelle est la vulnérabilité WhatsApp E2EE ?

Lorsque vous envoyez normalement un message, il est crypté avant de quitter votre téléphone, envoyé via Internet et n'est déchiffré que lorsqu'il arrive sur le téléphone du destinataire. Seul le téléphone du destinataire contient la clé permettant de déchiffrer le message. Les clés privées sont générées et échangées entre les utilisateurs avant l'envoi de messages. C’est ce qu’on appelle le « chiffrement de bout en bout » ou EE2E en abrégé. WhatsApp utilise le protocole Signal développé par Open Whisper Systems pour rendre ce processus aussi sécurisé que possible.

Si le destinataire change de téléphone et installe WhatsApp sur le nouveau téléphone, il n’a pas accès à la clé privée de l’ancien téléphone. Cela signifie qu’il ne peut pas décrypter le message.

Au lieu de ne pas transmettre ces messages, ce qui serait un inconvénient pour les deux utilisateurs, WhatsApp a ajouté ce qui suit :Le gardienappelle une porte dérobée. L'application renégocie l'échange de clés, à l'insu du destinataire, et renvoie automatiquement les messages. L'expéditeur ne connaît les nouvelles clés que si les notifications de sécurité sont activées.

Cela signifie que si le téléphone de quelqu’un est hors ligne pour une raison quelconque, WhatsApp pourrait éventuellement simuler un nouveau téléphone et une clé privée pour recevoir ces messages sauvegardés et les décrypter.

De plus, WhatsApp pourrait marquer les messages précédents comme non envoyés, ce qui pourrait signifier que WhatsApp pourrait accéder à des conversations entières, et pas seulement aux messages non envoyés.

Quelle est l’alternative privilégiée ?

Dans l'application de messagerie cryptée Signal, lorsqu'un destinataire change de téléphone, tous les messages non envoyés sont marqués comme non remis sur le téléphone de l'expéditeur. Ils doivent être renvoyés. Les utilisateurs des deux côtés sont avertis si des clés privées changent d'un côté ou de l'autre.

WhatsApp utilise le même protocole que l'application de messagerie Signal, mais a créé une fonctionnalité qui renégocierait les clés de cryptage et renverrait automatiquement les messages. De plus, il n’est pas aussi généreux avec ses notifications.

Au lendemain de cette controverse, nous nous attendons à ce que WhatsApp apporte quelques changements. Donner aux utilisateurs au moins le choix d’accepter ou non les renégociations automatiques des clés et en informer à la fois l’expéditeur et le destinataire serait un bon début.

N’importe quel pirate informatique peut-il voir mes messages WhatsApp ?

Non. L’exploitation de cette vulnérabilité nécessiterait une coopération explicite avec Facebook ou WhatsApp (Facebook possède WhatsApp).

Une agence gouvernementale pourrait cependant demander (ou contraindre) Facebook à espionner ses utilisateurs. Ce n’est pas une tâche facile, mais c’est possible.

WhatsApp/Facebook ont-ils intentionnellement implémenté la vulnérabilité ?

Cela a été un sujet de discussion brûlant. Facebook et WhatsApp affirment avoir implémenté la vulnérabilité pour une meilleure expérience utilisateur. Essentiellement, ils ne voulaient pas que les utilisateurs aient à gérer des messages qui ne parviennent pas à être envoyés simplement parce que le destinataire est hors ligne ou qu’il change de téléphone. Ils n’ont évidemment pas jugé pertinent d’avertir les utilisateurs lorsque leurs clés de chiffrement avaient été renégociées. Facebook a publiquement reconnu le problème en avril 2016 et a déclaré qu'il s'agissait d'un comportement normal.

Les critiques affirment que la vulnérabilité a été délibérément mise en œuvre comme une porte dérobée exploitée par les agences d’espionnage gouvernementales. Si telle était la véritable intention de WhatsApp, la vulnérabilité passerait du statut de « bug » à celui de « porte dérobée ».

Comment activer les notifications de sécurité WhatsApp

L'activation des notifications de sécurité n'empêchera pas les messages non envoyés d'être automatiquement renvoyés une fois qu'une négociation clé a eu lieu. Ils sont néanmoins utiles pour garantir que vous discutez avec la bonne personne à l’autre bout de la conversation.

Pour activer les notifications de sécurité WhatsApp :

Ouvrez WhatsApp
Cliquez sur les trois points dans le coin supérieur droit
Accédez à Paramètres > Compte > Sécurité
BasculerAfficher les notifications de sécuritésur

Voir également:Quel est le meilleur VPN pour WhatsApp accès là où il est bloqué et censuré dans des pays comme la Chine.

' WhatsApp » par Microsiervos sous licence CC PAR 2.0

3D-Online

Informations, Outils, Avis Et Comparaisons, Pour Aider Les Lecteurs À Améliorer Leur Cybersécurité Et Leur Confidentialité Sur Internet.