WhatsApp serait affecté par une vulnérabilité critique pouvant permettre aux gouvernements de savoir quels utilisateurs communiquent entre eux. Le chiffrement de bout en bout des messages ne semble pas compromis, mais la vulnérabilité est liée aux métadonnées (qui a contacté qui, quand, etc.) collectées par l'application. Ces données ne sont pas chiffrées, ce qui signifie qu'elles posent des risques de sécurité. Elles peuvent être capturées et stockées par la plateforme elle-même, si elle le souhaite, mais elles peuvent également être surveillées au niveau du réseau par les gouvernements ou les opérateurs disposant d'un accès approprié.Un rapport publié le mois dernier par The Intercept révèle que l'équipe de sécurité de WhatsApp a lancé en mars un avertissement interne au sujet d'un problème de sécurité. Elle a fait remarquer que malgré le chiffrement puissant de l'application de messagerie privée, les utilisateurs restaient vulnérables à une forme dangereuse de surveillance gouvernementale. Selon l'évaluation des menaces, qui n'a jamais été publiée par l'entreprise, le contenu des conversations entre les quelque deux milliards d'utilisateurs de l'application reste sécurisé. Le problème s'est toujours caché sous la surface brillante de WhatsApp.
L'équipe indique que les agences gouvernementales contournent le chiffrement de l'application pour savoir quels utilisateurs communiquent entre eux, connaître l'appartenance à des groupes privés, et peut-être même leur localisation. « WhatsApp devrait atténuer l'exploitation continue des vulnérabilités liées à l'analyse du trafic permettant aux États-nations de déterminer qui parle à qui. Nos utilisateurs à risque ont besoin de protections solides et viables contre l'analyse du trafic », aurait écrit le groupe d'ingénieurs dans son analyse. Selon le rapport, WhatsApp ne serait peut-être pas la seule messagerie concernée.
Il s'agit de deux questions distinctes. Mais elles ont en commun les métadonnées. Ces données ne sont pas chiffrées. Elles peuvent être collectées et stockées par WhatsApp, s'il le souhaite. En outre, elles peuvent être surveillées au niveau du réseau par les gouvernements ou les opérateurs disposant d'un accès approprié. Il s'agit d'aspirer des quantités stupéfiantes de métadonnées provenant de tout le monde, puis de rechercher des modèles ; le travail permanent des agences de renseignement et de communication. WhatsApp a déclaré publiquement que la plateforme collecte plusieurs types de métadonnées.
Selon la politique de confidentialité de WhatsApp, la plateforme recueille des informations sur l'activité de l'utilisateur (y compris la façon dont il utilise leurs services), la façon dont il interagit avec d'autres utilisateurs de leurs services (y compris lorsque l'utilisateur recherche une société et interagit avec elle), ainsi que l'heure, la fréquence et la durée des activités de l'utilisateur. Elle ajoute que même si l'utilisateur ne choisit pas d'utiliser leurs fonctions de localisation précises, elle utilise les adresses IP et d'autres informations telles que les indicatifs régionaux des numéros de téléphone, pour estimer sa localisation générale.
C'est le premier des deux problèmes. Si c'est WhatsApp qui collecte les données, il peut offrir une forme de protection aux utilisateurs. Cette protection disparaît si l'analyse échappe à son contrôle. Selon des employés de WhatsApp : « dans le contexte de la guerre en cours à Gaza, l'avertissement de menace a soulevé une possibilité inquiétante parmi certains employés de Meta. Le personnel de WhatsApp émet l'hypothèse qu'Israël pourrait exploiter cette faille dans le cadre de son programme de surveillance des Palestiniens, à un moment où la surveillance numérique les aide là décider qui tuer dans la bande de Gaza ».
WhatsApp a déclaré qu'il ne stocke pas les journaux de messages une fois que les messages ont été livrés ni les journaux de transactions de ces messages livrés. Mais afin de répondre à une demande légale valide, WhatsApp peut commencer à collecter des journaux de messages et des journaux d'appels pour un utilisateur particulier, en indiquant le destinataire ou l'expéditeur de la communication, l'heure à laquelle elle a été transmise, l'adresse IP à partir de laquelle elle a été transmise et le type de communication. Les gouvernements peuvent surveiller qui ils souhaitent en exigeant ces données de l'application.
Bien que le contenu de ces messages reste privé, il est inquiétant de constater que tant d'autres données sensibles peuvent encore être consultées et analysées. Cette histoire ne porte pas sur la collecte de ces données, mais sur la manière dont elles sont collectées et partagées. WhatsApp affirme pouvoir collecter et stocker des métadonnées tout en protégeant le contenu des conversations grâce au chiffrement de bout en bout. De son côté, Signal affirme qu'il ne collecte pas les métadonnées des utilisateurs. C'est l'une des raisons pour lesquelles de nombreux experts affirment que Signal est beaucoup plus sûr.
L'autre problème est lié à l'analyse du trafic réseau. L'évaluation montre comment les gouvernements peuvent utiliser leur accès à l'infrastructure d'Internet pour surveiller quand et où les communications chiffrées ont lieu, comme s'ils observaient un facteur transportant une enveloppe scellée. Cette vision du trafic national sur Internet est suffisante pour faire des déductions puissantes sur les individus qui conversent entre eux, même si les sujets de leurs conversations restent un mystère. Cette surveillance permet d'analyser les adresses IP et d'autres identifiants pour établir des schémas de trafic entre les individus.
L'alerte de l'équipe de sécurité de WhatsApp dit : « même en supposant que le chiffrement de WhatsApp soit inviolable, l'évaluation indique que des attaques continues de type "collecte et corrélation" briseraient le modèle de protection de la vie privée que nous avions prévu ». Ce type de traitement des données permet de relever les empreintes numériques des communications. Il est possible, par exemple, de relier un téléphone jetable à une personne en se basant sur les schémas de communication uniques, à condition de pouvoir capturer les métadonnées. Selon les experts, il s'agit là d'une préoccupation sérieuse.
En réponse au rapport de The Intercept, Christina LoNigro, porte-parole de WhatsApp, a déclaré : « WhatsApp n'a pas de portes dérobées et nous n'avons aucune preuve d'une vulnérabilité dans le fonctionnement de WhatsApp ». Le directeur de WhatsApp, Will Cathcart, a fustigé les allégations du rapport. Il a déclaré : « ce rapport risque de semer la confusion chez les personnes qui comptent sur le chiffrement de bout en bout. Nous débattons en interne des menaces possibles ou émergentes, parfois de manière assez énergique, car c'est ainsi que nous trouvons des moyens d'ajouter encore plus de sécurité à WhatsApp ».
Meta semble considérer qu'il ne s'agit pas d'une vulnérabilité de WhatsApp, alors que l'avis interne de l'équipe chargée de la sécurité de l'application appelle l'entreprise à atténuer l'exploitation en cours des vulnérabilités de l'analyse du trafic. Cette histoire suggère que les agences gouvernementales ont trouvé un moyen de siphonner ou d'intercepter les métadonnées de WhatsApp et de les analyser à grande échelle. Ce qui suscite des préoccupations majeures en matière de sécurité et de protection de la vie privée. Cette forme de surveillance représente une menace pour les voix discordantes, les journalistes, et bien d'autres.
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous des risques de sécurité liés à la collecte de métadonnées par WhatsApp ? WhatsApp peut-il collecter des métadonnées tout en assurant la sécurité et la vie privée des utilisateurs ? Que pensez-vous de la comparaison entre Signal et WhatsApp ? Quelle plateforme est la plus sûre selon vous ?Voir aussi
WhatsApp plus sécurisé qu'iMessage ? Oui, selon Marc Zuckerberg qui ravive le débat sur la question de savoir quel est le service de messagerie qui assure le plus la sécurité de ses utilisateurs Meta commence enfin à déployer le chiffrement de bout en bout par défaut pour Messenger, rendant ainsi les messages personnels uniquement accessibles à l'expéditeur et aux destinataires prévus Le directeur de WhatsApp déclare qu'il ne supprimera pas le chiffrement de bout en bout au profit de la loi britannique sur la sécurité en ligne, et que la société quittera le pays si elle est votée 
