Pourquoi l’application Whatsapp n’est pas sécurisée et pourquoi vous devriez la changer


Articles / dimanche, février 10th, 2019

Le chiffrement est un outil qui ne date pas d’hier [1]. De César au RSA en passant par Vigenère, les techniques de chiffrement ont largement évoluées. Autrefois réservées à une certaine élite, ces techniques de dissumulation des données ont connues une relative expansion, poussée par l’affaire Edward Snowden et les révélations sur la NSA, pratiquant comme bien d’autres organismes, l’espionnage de masse [2]. En réaction, de nombreux citoyens ont pris conscience des risques engandrés par une telle surveillance généralisée et ont souhaité se tourner vers des outils permettant la protection de leurs données à caractère personnel.

Au niveau européen par exemple, de nombreuses mesures ont été adoptées, comme avec la mise en place du règlement général sur la protection des données [3], autrement connue sous l’acronyme « RGPD », initiative européenne de 1995, entrée en vigueure le 24 mai 2016 et mise en application le 25 mai 2018. Cette réglementation permet de mettre en avant les bénéfcies apportées par l’union europééenne en apportant au citoyen européen la protection de nombreux droits fondamentaux à travers une homogénéisation entre les Etats membres et la création d’agences nationales ou européenne comme l’ANSSI ou l’ENISA. On y compte :

  • Le droit d’accéder aux données collectées,
  • Le droit à l’effacement et à la correction des données,
  • Le droit à la limitation des traitements,
  • Le droit à l’information sur les outils engagés pour la collecte de ses données,
  • L’interdiction de prises de décisions automatisés
  • Le droit d’opposition,
  • Le droit à la portabilité, interdisant de fait tout format propriétaire. Dans notre scénario fictif, un utilisateur serait donc tout-à-fait capable de demander à Google ses données et de les donner à Apple.

En somme, la RGPD va plus loin que la simple protection des données personnelles. On parle de consentement explicite : il faut avoir dit « oui » à l’exploitation de ses données personnelles. De nouvelles amendes administratives ont vues le jour, fixant des pénalités allant jusqu’à 20 000 millions d’euros ou 4% du CA consolidé [4]. Les données à caractère personnel ont de la valeur et le citoyen en a désormais pleine conscience. Le problème est que lorsqu’on évoque les dangers liés à de telles pratiques, on reste souvent confronté à l’indifférence générale, voire mis dans la case du paranoaïque.

De nombreux clients de messagerie, à l’image de Whatsapp, Telegram ou Signal, répondent à cette demande exprimée par cette vague d’utilisateurs, soucieux de se protéger, fournissant désormais un outil clef en main, permettant de communiquer avec facilité et en toute discretion. Whatsapp est sans doute l’application la plus connue et la plus utilisée, comptant plus d’un milliard d’utilisateurs quotidien [5]. Pour beaucoup d’entre-nous elle fournit un service fiable et sécurisé. Attendez… vraiment ?

Qu’est ce que le chiffrement ? Pourquoi le chiffrement est nécessaire ? Quelles limites pour l’opérateur Whatspapp ? Quelles alternatives ? C’est ce que nous allons voir. Je m’appuie notamment sur l’essai : « Les impacts des nouveaux moyens de communication sur la société : entre bénéfices et désillusions » publié en 2017 [6] et la vidéo de Micode [7] : « Booba utilise PGP ? », source d’inspiration pour ce billet.

Chiffrement, principe de base

Le chiffrement permet de dissimuler un message. De manière imagée, cela revient à encapsuler le message dans un coffre puis à l’envoyer à son correspondant. Seul le destinataire possédant la clef étant à même de l’ouvrir. Dans le schéma suivant [figure A], Alice communique le message « hello » à Bob à l’aide de la messagerie Whatsapp dont ils ont tous deux activé le chiffrement de bout en bout. Le message est donc chiffré sur l’interface d’Alice à l’aide d’une clef que Bob possède également. Une fois encapsulé, le message transite sur les serveurs de Whatsapp (détenus par Facebook) jusqu’à être réceptionné par Bob. Bob peut alors déchiffrer le message avec la clef et lire le fameux message : « hello ».

Figure A – Le principe du chiffrement

Pourquoi le chiffrement est nécessaire

A la réthorique de base « je n’ai rien à cacher » s’oppose de nombreux arguments autrement plus convainquant. Les données à caractères personnels permettent de remonter à plusieurs informations crutiales. Elles concernent tout ce qui regroupe l’identité, le contexte, la finance, le contenu des interractions, le comportement, la santé et la communication. A l’heure où en France se pose encore les questions de l’anonymat sur internet [8], de nombreux lobbysts et décisionnaires incompétents prennent des décisions dangeureuses [9] (voir le billet « Fake-news, infox, réseaux sociaux et réponses sécuritaires : les nouveaux dangers numériques »).

Le cap est déjà franchit dans de nombreux pays. Des assurances offrent des bracelets relevant l’activité physique de leurs assurés, pénalisant ainsi, à la sauce BlackMirror, ceux qui n’ont pas le « bon comportement » [10]. Aux Etats-Unis, le système Equifax [11] permet de fixer les indexs de crédit de manière prédictive. Il est possible d’acheter les données personnelles de nombreux utilisateurs. Le site usdate.org [12] permet ainsi d’accèder, moyennant finance, aux profils de tous les utilisateurs d’applications de rencontres. Nom, prénom, âge, date de naissance, sexe, orientations sexuelles, description, adresse, photos, localisation, e-mails, numéros de téléphones, comportements à risques, professsion : vos données se retrouvent à libre disposition sur internet [figure B] et pas forcément entre des mains bienveillantes. Si vous êtes un jour passé par Tinder ou autre réseau de dating, vous êtes forcément dans les listes sans même que vous ne soyez au courant.

Figure B – Un des nombreux profils disponible à l’achat (flou de ma propre initiative)

Les données personnelles, leur collecte et leur traitement ont de la valeur. D’aucuns me rétorqueraient que leur profil se retrouve noyé dans une masse d’information tellement gigantesque qu’elle en deviendrait intraitable. Détrompez-vous, la technologie, les avancées en matière d’IA et de traitements automatisés (voir l’essai « La robotisation du marché du travail ») permettent désormais de traiter des pétas de données. Les bases de données s’adaptent. NoSQL, ElasticSearch et autres technologies directement conçues par Facebook, Amazon ou Google offrent la possibilité d’interagir avec ces milliards de données de manière optimisée. Et quand bien même cela n’aurait pas été le cas, cela n’aurait été qu’une question de temps avant de constater leur apparition.

Vous êtes désormais au courant des risques associés et vous souhaitez vous protéger. Vous adoptez naturellement Whatsapp afin de chiffrer vos conversations et autres informations. Problème ? Il est possible d’accéder à des données personnelles sans même lire le contenu du message : à l’aide des métadonnées [13].

C’est ce dont parle l’avocat Kurt Opsahl dans « Why Metadata matters » [14] :

  • Ils savent que vous avez appelez un service telephonique à caractère sexuel à 2h24 du matin et parlez pendant 18 minutes. Mais ils ne savent pas de quoi vous avez parlé.
  • Ils savent que vous avez appelez un numéro de prévention contre le suicide depuis le Golden Gate Bridge (lieux de nombreux suicides) mais le sujet de l’appel reste secret.
  • Ils savent que vous avez parlez avec un centre de dépistage du sida puis à votre médecin puis à votre compagnie d’assurance dans la même heure. Mais ils ne savent pas de quoi vous avez parlé.
  • Ils savent que vous avez reçu un message de votre officine NRA locale (association des armes à feu aux Etats-Unis) tandis qu’il y avait dans le même temps une campagne contre la législation sur les armes à feux. Puis vous avez appelez votre sénateur et représentants au congret immédiatement après. Mais le contenu de ces appels demeurent inconnu.
  • Ils savent que vous avez appelé votre gynécologiste et parlé pendant une demi-heure puis appelé Planned Parenthood (ONG sur la planification familliale, l’éducation sexuelle, contraception, etc. pro-choix aux Etats-Unis). Mais personne ne sait de quoi vous avez parlé.

Whatsapp : application de discussion « sécurisé » ?

Au préalable il est important de préciser que, peu importe le client utilisé, la sécurité des échanges n’est garantie que dans le cadre où votre terminal (mobile, montre connectée, tablette,  ou ordinateur) est lui-même sécurisé. En l’occurrence, plutôt que de s’attaquer directement à l’encryption des données réalisée à travers le chiffrement de bout en bout, il est plus facile d’attaquer les faiblesses dans le terminal que la méthodologie en elle-même [15]. A savoir récupérer le message avant qu’il soit chiffré ou après qu’il ait été déchiffré. Ce qu’a réussi à faire la CIA, et probablement de nombreux autres organismes.

Enfin, même si le chiffrement est protégé et que le message reste illisible, Whatsapp récupère contacts et nombreuses métadonnées. Ces métadonnées, comme on a pu le voir dans le paragraphe précédent, comprennent de nombreuses informations [13]. A partir de cet instant, une brèche est ouverte dans votre vie privée : Whatsapp n’offre donc pas une solution sécurisé pour vos données.

En l’occurrence Whatsapp appartient à Facebook. En dépit des nombreux scandals éclaboussant le réseau social sur son non respect de la vie privée de ses utilisateurs [16][17], le cours de Facebook continue de grimper. Avec de nouveaux investissements en date, comme le rachat de VPN, Instagram, ou encore la tentative de rachat de Snapchat, Facebook n’a de cesse que de diversifier son emprise. En somme, actionnaires et utilisateurs constituent deux acteurs aux besoins contradictoires.

Telegram, une bonne alternative ?

Depuis quelque temps, Telegram se pose comme une alternative à Whatsapp. Le concurrent russe bénéficie d’une image renforcée, celui d’un ardant défenseur des libertés, valorisée par les tentatives du gouvernement russe pour interdire son utilisation.

Malheureusement, le protocole de chiffrement « maison », le chiffrement de bout en bout non activé par défaut et le stockage des contacts en mémoire sur des serveurs parfois partagés avec d’autres services comme Facebook, font du challengeur, une alternative peu satisfaisante. Alors, quelles solutions ?

Signal

Recommandé par Edward Snowden, un sérieux concurrent a vu le jour : Signal. Le projet est en open source, cela signifie que le code source utilisé est disponible et permet de certifier qu’aucun programme malveillant n’est intégré dans le client : l’application fait bien ce qu’on lui demande. Vous pouvez même vérifier par vous-même [18].

La sécurité du protocole de chiffrement ne repose pas sur la non connaissance du protocol lui-même mais de la fiabilité du chiffrement utilisé. Tout le monde peut savoir ce que vous utilisez RSA, personne ne pourra lire vos messages pour autant. C’est là la grande force des protocoles de chiffrement asymétriques, donc la clef (une des clefs) est publique [19].

Enfin, Signal stocke uniquement le numéro de téléphone et la date (dd/mm/yyyy) de dernière connexion au serveur : les métadonnées sont donc restreintes à ces seules informations et sont collectées par un organisme à but non lucratif.

En définitive, nous avons vu en quoi il était nécessaire de protéger ses données. Celles-ci conntiennent des informations crutiales impactants le rapport de force du citoyen face à son assurance ou son employeur par exempe. De nombreuses alternatives existent et permettent de contrer les politiques dangeureuses de certains organismes. Whatsapp, ni Telegram contrairement à ce qu’on pourrait croire, offrent une politique de protection des données satisfaisante. Comme s’accordent de nombreux experts, Signal est une alternative de choix,  en cela que le projet est non lucratif, open-source, repose sur un protocole de chiffrement reconnu, robuste et enfin, limite la quantité de métadonnées générées, composées uniquement du numéro de téléphone et de la date de dernière connexion au service.

Le choix des outils n’a rien d’annodin. Le citoyen-consommateur est une véritable force de détermination, à même de refuser la main mise d’Amazon, Google ou Facebook et de proposer des alternatives libres et éthiques tout en s’opposant aux décions malheureuses issues de l’inculture des décisionnaires politiques, hors sols, sujets aux lobbys et parfois complétement incompétents [20][21][22].

Ressources

[1] SINGH Simon, « Histoire des codes secrets, de l’Egypte des pharaons à l’ordinateur quantique », Le livre de poche, 2001, [https://amzn.to/2I2Di9W]

[2] MANDIANT, « Exposing one of China’s cyber espionage unit », APT1,[https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf]

[3] WIKIPEDIA, RGPD, [https://fr.wikipedia.org/wiki/R%C3%A8glement_g%C3%A9n%C3%A9ral_sur_la_protection_des_donn%C3%A9es]

[4] HUE Benjamin, « Google condamné à 50 millions d’euros d’amende par la CNIL pour manquement au RGPD », RTL, 21/01/2019, [https://www.rtl.fr/actu/futur/google-condamne-a-50-millions-d-euros-d-amende-par-la-cnil-pour-manquement-au-rgpd-7796294665]

[5] WIKIPEDIA, Whatsapp, 7/02/2019, [https://fr.wikipedia.org/wiki/WhatsApp]

[6] ESSAI, « Les impacts des nouveaux moyens de communication sur la socité : entre bénéfices et désillusions », 2017, [https://mignonnette-philosophique.com/essais/les-impacts-des-nouveaux-moyens-de-communication-sur-la-societe/]

[7] MICODE, « Booba utilise PGP ? », Youtube, 7/02/2019, [https://youtu.be/EoxV52jtB7c]

[8] LA QUADRATURE DU NET, « Résumé de nos arguments contre la surveillance française devant les juges européens », laquadrature.net, 13/12/2018, [https://www.laquadrature.net/2018/12/13/cour-de-justice-de-lue-resume-de-nos-arguments-contre-la-surveillance-francaise/]

[9] LA QUADRATURE DU NET, « Le parlement européen appelle à la censure automatisée et privatisée du web à des fins sécuritaire », laquadrature.net, 12/12/2018, [https://www.laquadrature.net/2018/12/12/le-parlement-europeen-appelle-a-la-censure-automatisee-et-privatisee-du-web-a-des-fins-securitaires/]

[10] LAUSSON Julien, « Un assureur américain baisse ses prix si le client accepte d’utiliser un bracelet de santé », Numérama, 20/09/2018, [https://www.numerama.com/business/419453-un-assureur-americain-baisse-ses-prix-si-un-bracelet-de-sante-connecte-est-utilise.html]

[11] WIKIPEDIA, « Equifax », 28/08/2018, [https://fr.wikipedia.org/wiki/Equifax]

[12] Achat de base de données des utilisateurs des applications de rencontres, [https://www.usdate.org/view-profile-samples/european]

[13] HEIMEL Jon-Louis, « How metadata reveals more about you than you think », Security Week, 12/07/2013, [https://www.securityweek.com/how-metadata-reveals-more-about-you-you-think]

[14] OPSAHL Kurt, « Why Metadata matters », Electronic Frontier Foundation, 7/06/2013, [https://www.eff.org/fr/deeplinks/2013/06/why-metadata-matters]

[15] GILLIS Tom, « Wikileaks only told you half the story, why encryption matters more than ever », Forbes, 21/03/2017, [https://www.forbes.com/sites/tomgillis/2017/03/21/wikileaks-only-told-you-half-the-story-why-encryption-matters-more-than-ever/]

[16] ZAFFAGNI Marc, « Scandale Facebook : ce qu’il faut savoir pour comprendre et protéger ses données », CNET, 13/04/2018,[https://www.cnetfrance.fr/news/scandale-facebook-ce-qu-il-faut-savoir-pour-comprendre-l-affaire-et-proteger-ses-donnees-39865776.htm]

[17] WIKIPEDIA, « Scandal Facebook-Cambridge Analytica », 17/10/2018,[https://fr.wikipedia.org/wiki/Scandale_Facebook-Cambridge_Analytica]

[18] Le code source de Signal, [https://signal.org/docs/]

[19] WIKIPEDIA, « Cryptographie asymétrique », 11/01/2019, [https://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique]

[20] LAUSSON Julien, « Le chiffrement fort et sans back-door est vital selon le vice-président de la Commission Européenne », Numérama, 27/06/2017, [https://www.numerama.com/politique/270690-le-chiffrement-fort-sans-backdoor-est-vital-selon-le-vice-president-de-la-commission-europeenne.html]

[21] LAUSSON Julien, « La quadrature appelle Mahjoubi et Villani à défendre le chiffrement », Numérama, 6/12/2017, [https://www.numerama.com/politique/312439-la-quadrature-appelle-mahjoubi-et-villani-a-defendre-le-chiffrement.html]

[22] SCHNEIDER Frédérique, « Mounir Mahjoubi : le chiffrement est vital pour notre liberté », La croix, 24/08/2016, [https://www.la-croix.com/France/Securite/Mounir-Mahjoubi-Le-chiffrement-communications-vital-pour-notre-securite-notre-liberte-2016-08-24-1200784274]

Mis à jour le 28 février 2019

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *