Une alerte interne de l’équipe de sécurité de WhatsApp, obtenue par le site The Intercept, révèle que malgré le puissant chiffrement de l’application de Meta, les utilisateurs resteraient soumis à une forme de surveillance gouvernementale. Bien que le contenu des conversations reste sécurisé, les agences étatiques parviendraient à contourner le chiffrement pour déterminer quels utilisateurs communiquent entre eux, connaître l’appartenance à des groupes privés et peut-être même leurs localisations.
Cette vulnérabilité reposerait sur l’analyse du trafic, une technique de surveillance réseau vieille de plusieurs décennies. En observant le trafic internet à l’échelle nationale, les gouvernements pourraient déduire des métadonnées cruciales sur les communications chiffrées, comme qui parle à qui et, par extension, de quel groupe privé les utilisateurs font partie. Cette alerte a toutefois été fermement démentie par Will Cathcart, le responsable de WhatsApp chez Meta, sur son compte X.com.
Selon l’évaluation interne, bien que le contenu des messages WhatsApp reste illisible, les gouvernements pourraient exploiter leur accès aux infrastructures internet pour surveiller quand et où les communications chiffrées ont lieu. Ce niveau d’observation suffit à faire des déductions puissantes sur quels individus conversent ensemble.
L’équipe de sécurité de WhatsApp a identifié plusieurs exemples d’attaques par corrélation permettant de contourner la confidentialité de l’app. Dans un cas, un utilisateur WhatsApp envoie un message à un groupe, générant une salve de données de même taille transmise à tous les appareils du groupe. Une autre attaque par corrélation mesure le délai entre l’envoi et la réception des messages WhatsApp, ce qui donne la possibilité « d’inférer la distance et la localisation des destinataires ».
Le rapport souligne que ces attaques nécessitent que tous les membres d’un groupe WhatsApp ou les deux côtés d’une conversation soient sur le même réseau national ou dans la même zone de juridiction. Bien que suggérant que les usagers de « démocraties avec procédures légales » soient moins vulnérables, il cite la NSA qui utilise ce type de techniques d’écoute sur le sol américain.
Pour Matthew Green, professeur de cryptographie, « ces corrélations de métadonnées sont exactement cela : des corrélations dont la précision peut être bonne ou moyenne. Mais ces systèmes vont tuer des innocents sans que l’on sache pourquoi ».
Dans les zones de conflit comme Gaza, l’utilisation de WhatsApp pourrait alimenter des systèmes israéliens d’assassinats ciblés reposant sur l’analyse de données, comme l’explique un récent rapport. Des employés de Meta craignent que cette vulnérabilité ne serve à « marquer » des Palestiniens.
Contacté par The Intercept, la porte-parole de Meta, Christina LoNigro, a nié l’existence d’une « vulnérabilité dans la façon dont fonctionne WhatsApp ». Elle a qualifié le document d’« évaluation théorique » non unique à WhatsApp.
Ce démenti a même été réaffirmé par Will Cathcart. Ce dernier a indiqué dans un fil sur son compte X.com qu’« il n’y a aucune preuve d’une vulnérabilité dans WhatsApp ». Il craint que le rapport de The Intercept induise les utilisateurs en erreur et sème le trouble quant à l’efficacité du chiffrement de bout en bout de l’application de Meta.
There is no evidence of a vulnerability in WhatsApp and this article risks a ton of confusion for people who rely on end-to-end encryption. pic.twitter.com/YEPnA9cSjJ
— Will Cathcart (@wcathcart) May 23, 2024
Selon les ingénieurs, améliorer la protection contre ces attaques par corrélation rendrait l’application moins performante, ou la ferait consommer des données et de la batterie, un compromis difficile pour une entreprise comme Meta.
En fin de compte, « la tension sera toujours la part de marché et la domination du marché », plutôt que la protection des utilisateurs à risque, déplore une source interne à Meta. Toutefois, les utilisateurs qui le souhaitent peuvent pallier cette éventuelle faille de WhatsApp. Ils peuvent par exemple utiliser un VPN fiable pour crypter leur trafic et le faire passer par un tiers. Ils ont également possibilité de passer sur des messageries encore plus sécurisées comme Signal, mieux protégées contre l’analyse de trafic, choisir de se connecter
avec le réseau Tor, qui masque totalement les métadonnées,
ou bien, pour les plus confiants, attendre un possible futur « mode très sécurisé » sur WhatsApp, qui ajouterait du bruit au trafic. L’espoir fait vivre, après tout.
Source : The Intercept