Depuis hier, Facebook doit gérer une crise médiatique initiée par le Guardian, qui révèle que le chiffrement de bout en bout de WhatsApp ne serait pas 100% sécurisé.
Pour résumer la problématique, le programme utilise bien un protocole ultra-sécurisé pour échanger les données (Signal) : chaque correspondant a sa propre clef privée et chaque message envoyé ne peut-être décrypté par un tiers. Seulement voilà, WhatsApp a choisi une implémentation qui peut varier en fonction des usages : si un correspond est hors-ligne, l'éditeur peut générer une nouvelle clef privé et donc, avoir potentiellement accès aux messages. Dans ce cas de figure, les utilisateurs ne sont pas explicitement informés, sauf à avoir coché une option dans les réglages (ci-contre). A l'arrivée, certains y voient surtout là un moyen pour Facebook de répondre à des demandes gouvernementales pour épier ses utilisateurs, en cas de besoin.
Mais le géant américain dément formellement cette théorieWhatsApp ne fournit à aucun gouvernement un système de porte dérobée et s'opposera à toute demande de ce type. Cette décision d'architecture permet d'éviter de perdre des millions de messages envoyés hors-ligne et WhatsApp propose un système pour alerter les utilisateurs d'un risque de sécurité, dans ce cas de figure. D'après Facebook, cette implémentation permet surtout de recevoir ses messages même si l'on a changé de téléphone ou de carte SIM, par exemple.
De son côté, malgré ses positions strictes autour du chiffrement, Apple fait pratiquement la même chose avec iCloud : les échanges avec les serveurs sont bien chiffrés de bout en bout, mais Apple détient la clef maître, qui permet de décoder les données en cas de besoin. Par exemple, si vous vous faites voler votre iPhone ou que vous avez oublié votre mot de passe iCloud, il est possible de récupérer sa sauvegarde (rien de plus normal, non ?). Cette possibilité n'aurait pas lieu si la clef était stockée uniquement sur l'iPhone... Imaginez alors le scandale !
Sur des programmes grand public, les questions de sécurité sont donc toujours à mettre en perspective avec les réalités ergonomiques et les usages : les utilisateurs de WhatsApp préfèrent-ils chiffrer à tout prix leurs conversations ou garder la possibilité de récupérer leurs messages après un changement de téléphone ou de carte SIM ? Les utilisateurs d'iCloud souhaitent-ils chiffrer à tout prix leurs données ou préfèrent-ils garder la possibilité de les récupérer en cas de vol ? Facebook a tranché, Apple également, et plutôt que de parler systématiquement de faille de sécurité, certains médias devraient déjà s'intéresser plus précisément aux choix d'architecture lorsqu'on propose des services pour le grand public.
