WhatsApp passe au chiffrement de bout en bout pour renforcer sa sécurité

6 Avr 2016

WhatsApp est l’un des services de messagerie les plus populaires au monde. Il compte plus d’un milliard d’utilisateurs.

La raison de son succès réside sans doute dans sa fonctionnalité. On peut l’utiliser pour envoyer des messages, des vidéos et photos gratuitement et ce de façon illimitée. WhatsApp vous permet également de passer des appels gratuits dans le monde entier (hors coût des données). Jusqu’à présent, le seul bémol de l’appli pour certains utilisateurs concernait la vie privée, compte tenu des problèmes de sécurité qu’avait connus WhatsApp auparavant.

whatsapp-encryption-featured

Le 5 avril dernier, WhatsApp a annoncé qu’il allait finalement mettre en place le chiffrement de bout en bout sur sa plateforme. Ce changement va sans doute renforcer la popularité du service de messagerie et causer du tort aux espions en tout genre (y compris les agences de sécurité) : désormais plus d’un milliard d’utilisateurs voient leur vie privée renforcée.

Soyons clairs, qu’est-ce qui a changé pour WhatsApp et de quelle façon ce changement nous impactera, vous et moi ?

Toutes les couleurs du chiffrement

Il y a quelques années, WhatsApp avait déjà introduit un certain type de chiffrement. Le service de messagerie dépendait des protocoles communs SSL et TSL, utilisés par exemple dans les emails.

Au-delà du chiffrement, il y a la façon de le mettre en place. L’ancienne version était un peu légère. Elle a souffert de failles qui permettaient aux hackers de détourner de l’argent aux utilisateurs et de déchiffrer leur conversation. D’ailleurs, une partie des données n’était pas chiffrée du tout.

Lorsque l’Electronic Frontier Foundation (EFF) a dressé la liste des services de messagerie les moins et les plus sécurisés, WhatsApp a reçu deux étoiles sur un maximum de sept. Par conséquent, on s’était vu contraints de classer l’application à notre  » liste noire des services de messagerie les moins sûrs « , mais nous avions aussi remarqué qu’avec le temps certaines choses allaient s’améliorer. A l’époque, WhatsApp avait déjà annoncé que le groupe Open System Murmure leur offrirait le protocole Signal afin de renforcer la sécurité du service de messagerie.

L’Open System Whisper est une entreprise à but non lucratif, le développeur de Signal, un des services de messagerie les plus fiables, selon l’EFF. Le groupe a aussi créé RedPhone, le logiciel de sécurité pour les communications en voix sur IP (VoIP). Leurs solutions ont obtenu sept étoiles de la part de l’EFF, le plus haut score possible. Malgré sa grande fiabilité, ils sont peu à l’utiliser, WhatsApp restant de loin le plus populaire de tous.

Maintenant que WhatsApp utilise le protocole Signal, l’application a quasiment atteint le même niveau de sécurité que les solutions citées précédemment. Depuis l’annonce du chiffrement, l’EFF a changé le classement de WhatsApp, en lui attribuant 6 étoiles sur 7. WhatsApp a fait un grand pas en avant, en comparaison avec les 2 étoiles qu’il avait obtenues précédemment. Alors, qu’est-ce qui a changé ?

Quelle est l’agitation autour du nouveau chiffrement de WhatsApp ?

En novembre 2014, WhatsApp pouvait chiffrer les messages (mais faiblement). Il y a un peu moins d’un an, il fut contrôlé par une organisation indépendante, qui lui a attribué ses deux étoiles. Le 5 avril dernier, WhatsApp a obtenu 4 étoiles de plus en un seul jour !

Le service de messagerie a reçu sa 3ème étoile puisque désormais, même les employés de WhatsApp ne peuvent pas déchiffrer et lire les messages des usagers. Permettez-nous de vous rappeler que la querelle entre Apple et FBI a éclaté pour les mêmes raisons. L’entreprise affirmait qu’elle ne pouvait pas pirater son propre smartphone et ce en dépit de la demande des services de sécurité.

WhatsApp a obtenu sa 4ème étoile pour son propre mécanisme de vérification de l’identité : lorsque le chat démarre, les utilisateurs peuvent s’assurer qu’ils sont bien en train de discuter avec la bonne personne, et de l’intégrité de la conversation.

Le service de messagerie a reçu sa 5ème étoile pour avoir changé les clés de chiffrement. Donc en théorie, si quelqu’un vole la clé, le coupable pourrait uniquement déchiffrer une partie de la conversation, mais attention pas pour les précédentes !

Pour finir, la 6ème étoile a été décernée grâce à la bonne exécution et aux informations claires du protocole Signal de WhatsApp. Cette mesure permet au public, y compris les cryptographes professionnels, d’examiner le modèle de chiffrement et veiller à ce que les clés soient bien générées, stockées et envoyées en toute sécurité.

La dernière étoile, la 7ème, n’a pas été attribuée à WhatsApp pour la simple et bonne raison que le service de messagerie n’ouvre pas son code source. Lorsque les développeurs ouvrent leur code, tous les utilisateurs peuvent plus facilement détecter des vulnérabilités et rendre la solution encore plus sûre. Facebook, le détenteur de WhatsApp semble pourtant prêt à se pencher sur le sujet.

Néanmoins, le score de 6 étoiles est le plus élevé pour une majorité de services de messagerie. Par exemple, Skype et Yahoo Messenger ne disposent que d’une étoile. Le principal concurrent de WhatsApp, Viber, quant à lui ne possède que deux étoiles. Parmi les applications les plus populaires, Telegram peut rivaliser avec WhatsApp en termes de sécurité, avec un score de 7 étoiles sur 7.

Conclusion

La toute dernière version de WhatsApp chiffre toutes les données : texte, images, vidéos et appels vocaux de toutes les personnes présentes sur le chat ou qui passent des appels. Le chiffrement fonctionne sur toutes les plateformes, allant de Nokia S40, Symbian et iOS, à Android, Blackberry 10 et Windows Phone.

Les créateurs Jan Koum et Brian Acton sont persuadés qu’un bon nombre d’entre nous apprécieront grandement les changements effectués afin d’améliorer leur sécurité. Désormais, plus d’un milliard de personnes peuvent chatter en toute sécurité et partager leurs idées sur n’importe quel sujet d’ordre privé. Il s’agit d’un grand pas en avant au sujet de la vie privée sur Internet, alors que la tendance globale actuelle pencherait plutôt vers le contraire.