Whatsapp: une "faille" permet-elle vraiment l'espionnage par les gouvernements?

C'est un article qui a fait aussitôt réagir Will Cathcart, patron de Whatsapp (filiale de Facebook/Meta), sur X (ex-Twitter). Ce 22 mai, le média The Intercept a publié un article évoquant "une faille" dans l'application aux deux milliards d'utilisateurs dans le monde, permettant aux gouvernements de savoir à qui parle un internaute.

Dans l'article, The Intercept révèle ainsi des débats internes aux équipes de Whatsapp concernant le risque que les données de trafic de l'application soient utilisées par des gouvernements pour savoir "qui parle à qui".

"Aucune preuve de l'existence d'une faille"

"Il n'y a aucune preuve de l'existence d'une faille dans Whatsapp et cet article risque d'entraîner une grande confusion pour les gens qui s'en remettent au chiffrement de bout en bout" a aussitôt rétorqué Will Cathcart.

En évoquant le chiffrement de bout en bout, le patron de Whatsapp fait référence à la technologie utilisée par l'application, qui permet d'encapsuler le contenu des messages des utilisateurs, pour que celui-ci ne puisse être lu par personne d'autre. Whatsapp lui-même n'a donc pas la possibilité de consulter les messages qui s'échangent entre deux utilisateurs.

Un chiffrement de bout en bout, gage de protection de la vie privée, qui est également utilisée par d'autres messageries, comme iMessage, mais également Messenger depuis fin 2023.

Pour l'heure, aucune technologie de chiffrement de bout en bout utilisée par ces applications n'a été mise à mal, ce que rappelle ainsi Will Cathcart, réfutant ainsi le terme de "faille".

Du chiffrement, mais des métadonnées

En réalité, l'article de The Intercept fait référence à la notion de métadonnées. En matière de messagerie, le chiffrement du contenu n'est pas suffisant pour protéger la vie privée des utilisateurs. Les métadonnées sont des données "annexes" à ce contenu, qui ne sont quant à elles pas chiffrées sur Whatsapp.

Concrètement, si le contenu d'une conversation est inaccessible, il reste possible de savoir qu'un numéro de téléphone a adressé un message à un autre numéro de téléphone, à une heure précise, ou à un groupe de numéros de téléphone. Le volume des messages permet aussi d'estimer la nature de ces derniers, par exemple dans le cas de l'envoi d'une vidéo volumineuse.

Un tel espionnage est techniquement possible, par exemple si les opérateurs téléphoniques d'un pays venaient à collecter ces informations pour le compte d'un gouvernement.

Dans les discussions internes évoquées par The Intercept, le terme de "faille" est malgré tout utilisé. A ce sujet, Whatsapp assure qu'il s'agit d'un emploi "théorique" lié à cette collecte potentielle de métadonnées, et que le terme n'est pas spécifique à la plateforme de Facebook.

Moins de métadonnées sur Signal

"Ce dont nous avons discuté est un défi lié à la façon dont internet fonctionne. Cela pourrait être un problème pour n'importe quelle application. Changer d'application ne changera rien" assure le patron de Whatsapp sur Twitter.

Une affirmation qui est toutefois factuellement fausse. Car si Whatsapp collecte de nombreuses métadonnées, qui peuvent ainsi être interceptées, ce n'est pas le cas de toutes les applications. D'autres applications, comme Signal, limitent ainsi au maximum les métadonnées générées, rendant un potentiel espionnage bien plus limité.

Le chiffrement des contenus sur les messageries les plus populaires est malgré tout un sujet récurrent pour les autorités. Fin 2023, le ministre de l'Intérieur Gérald Darmanin évoquait ainsi sa volonté que Whatsapp "casse" ce chiffrement pour permettre à la police d'accéder aux conversations de certains utilisateurs. Une demande restée lettre morte.