WhatsApp : une vulnérabilité, mais pas une porte-dérobée ?

Le chercheur Tobias Boelter n’y va pas par quatre chemins. Dans les colonnes du Guardian, il explique que « si une agence gouvernementale demande à WhatsApp de dévoiler les enregistrements de messages, il peut effectivement le faire, en raison du changement des clés » de chiffrement. Le secret ? Une subtilité dans la manière dont l’application implémente le protocole Signal.

Le chiffrement des conversations s’appuie sur la génération de clés de chiffrement uniques qui sont échangées et vérifiées entre correspondants. Mais WhatsApp peut forcer la génération d’une nouvelle clé pour utilisateurs qui sont hors connexion. L’émetteur doit alors chiffrer à nouveau les messages et les réexpédier. Et tout cela peut se faire à l’insu du destinataire. De son côté, l’émetteur n’est averti que s’il a activé les alertes relatives au chiffrement, et encore, uniquement après que ses messages ont été réexpédiés.

L’implémentation du protocole dans l’application Signal ne souffre pas de cette vulnérabilité : si la clé d’un destinataire change alors qu’il est déconnecté, les messages qui lui ont été adressés ne sont tout simplement pas délivrés. L’émetteur est notifié et ses messages ne sont pas retransmis automatiquement.

Tobias Boelter a informé Facebook de sa découverte en avril 2016. Mais pour celui-ci, aucune surprise, la situation est conforme à la manière dont le protocole Signal a été délibérément mise en œuvre au sein de WhatsApp. Un porte-parole de ce dernier explique de son côté que « dans beaucoup d’endroits, les gens changent fréquemment de terminaux et de cartes SIM. Dans ce cas, nous voulons être sûr que les messages sont délivrés, et non pas perdus en transit ». Et de réfuter toute idée de porte dérobée offerte aux autorités.

Sur le site Web de Graham Cluley, David Bisson tend à estimer également qu’il n’y a pas à chercher là de porte dérobée. Toutefois, pour lui, WhatsApp aurait tout intérêt à adopter l’approche retenue pour l’application Signal, laissant donc à l’émetteur le choix de renvoyer ou non un message en cas de changement de clé.

Responsable de la stratégie sécurité de Venafi, Kevin Bocek est moins tendre. Pour lui, « les possibilités d’abus de gouvernements de cette utilisation du chiffrement avec WhatsApp sont alarmantes ». Et d’y voir « une faille très sérieuse ».

Jacob Ginsberg, d’Echoworx, n’est pas plus complaisant. Pour lui, « avoir une porte dérobée qui force la génération de nouvelles clés de chiffrement est déjà mauvais en soi. Mais ne pas informer le destinataire de ce changement est hautement contraire à l’éthique ». Pire pour lui, alors que Facebook est au courant de longue date, « non seulement beaucoup pourrait voir cela comme un soutien aux demandes d’interception de gouvernements, mais surtout cela veut dire que leurs discours sur le chiffrement et la confidentialité n’ont été rien de plus que des paroles ». Et d’encourager le réseau social à « revoir activement ses mesures de sécurité ».

Avec nos confrères de ComputerWeekly (groupe TechTarget).