Il y a une porte dérobée dans WhatsApp, qui permet à une tierce partie (comme un organisme de surveillance à trois lettres, par exemple) d’intercepter et de lire des messages sans le consentement des utilisateurs. La découverte, révélée par le Guardian, est liée à l’implantation du protocole Signal qui gère le chiffrement des données dans l’application de messagerie instantanée.
Signal n’est pas en cause ici, mais plutôt son intégration par Facebook dans WhatsApp. Un message envoyé à un correspondant hors ligne qui change de smartphone ou réinstalle l’application, sera chiffré avec de nouvelles clés. Il sera ensuite envoyé au correspondant, sans alerter par défaut les utilisateurs du changement opéré au niveau des clés de chiffrement. Ce processus permet à WhatsApp de jeter un œil indiscret sur le ou les messages. En cas de mandat de justice, WhatsApp pourrait être amené à fournir ces informations.
Le protocole Signal (qui est également une application recommandée par Edward Snowden), développé par Open Whisper Systems, ne présente pas cette backdoor. En cas de problème de connexion, si la clé de chiffrement du destinataire est modifiée hors ligne, le message ne sera pas livré et l’expéditeur en sera prévenu.
Un porte-parole de WhatsApp a expliqué en substance que ce n’était pas un bug, mais… une fonction. Il s’agit d’assurer la continuité d’une conversation en cas de changement de téléphone ou de réinstallation de WhatsApp. « Dans beaucoup de pays, les gens changent fréquemment d’appareils et de cartes SIM. Dans ces situations, nous voulons nous assurer que les messages sont bien livrés », précise le porte-parole.
Dans les réglages de WhatsApp, on trouvera une option Afficher les notifications de sécurité (Compte > Sécurité). Celle-ci active des messages d’alerte en cas de modification du code de sécurité d’un contact.
Mais si activer cette option informe effectivement l’utilisateur d’une modification dans la sécurité de la discussion, elle ne ferme pas la porte dérobée. Le Guardian conseille de ne plus utiliser WhatsApp si on se sert de l’app dans le cadre d’activités sensibles (enquête journalistique, discussion diplomatique…). Ou si tout simplement on tient à la confidentialité de ses échanges.