Romain Aubert
“Pourquoi j’ai invité mes amis à ne plus utiliser WhatsApp”
La sécurité de WhatsApp et de Telegram n’est pas suffisamment valable pour que nous soyons certains que notre vie privée est bien respectée, écrit le bloggeur technologique américain Romain Aubert. ‘Ils savent que vous avez appelé une ligne de sexe à 2H24′ pour une communication qui a duré 18 minutes, mais pas à propos de quoi.’
Ce matin, j’ai demandé à mes amis d’arrêter d’utiliser WhatsApp et Telegram. Je leur ai envoyé une invitation à recourir au service de messagerie Signal. Voici pourquoi:
Probablement ne le savez-vous pas, mais il y a de fortes chances que vous utilisiez le protocole Signal chaque jour, comme plus d’1 milliard d’autres personnes le font quotidiennement. Le protocole Signal est en fait utilisé par WhatsApp, Facebook Messenger, Google Allo et par l’appli de messagerie Signal elle-même. Mais de quoi s’agit-il en fait?
‘Le protocole Signal est un protocole cryptographique non-fédéré qui assure le cryptage bout à bout des communications de messagerie instantanée’, trouve-t-on dans Wikipedia. Le cryptage bout à bout signifie que votre message en route vers son destinataire final est crypté et ne peut être décrypté que par cette personne. Cela fait quelques mois maintenant que WhatsApp a commencé à l’utiliser au niveau de vos conmmunications:
Le protocole est l’oeuvre d’Open Whisper System. Cette organisation non marchande a été créée en 2013 par Moxie Marlinspike, ex-responsable de la sécurité chez Twitter, après que le service de microblogging ait racheté la première petite entreprise de ce dernier.
Open Whisper System s’occupe surtout de continuer de développer le protocole Signal et dispose également d’un appli maison appelée Signal et ressemblant fortement à WhatsApp et à Facebook Messenger. Elle tire ses fonds tant de dons que de subsides. En octobre 2016, le protocole Signal fut évalué par une équipe internationale de chercheurs en sécurité avec des commentaires enthousiastes à la clé.
Lorsqu’on lit ce qui précède, on pense que tout va bien, étant donné que WhatsApp, Facebook et Google Allo utilisent le même protocole, mais tel n’est pourtant pas le cas.
Facebook Messenger et Google Allo n’assurent pas un cryptage bout à bout par défaut. Sur Messenger, il convient d’activer le paramètre ‘Conversation secrètes’, alors que les utilisateurs d’Allo doivent chatter en Mode Incognito.
‘Pourquoi j’ai demandé à mes amis de ne plus utiliser WhatsApp’
Quant à Telegram, l’oeuvre de Pavel Durov, qui est utilisé par 100 millions de personnes, il exploite son propre protocole de cryptage: MTProto, qui a déjà fait l’objet de pas mal de controverses. En 2015, un chercheur en sécurité publia un rapport qui révélait la présence de plusieurs grandes failles dans MTProto et qui concluait que ce n’était pas une bonne idée de la part de Telegram d’avoir introduit un protocole de cryptage propre.
Restent WhatsApp et Signal, les deux seules applications qui utilisent par défaut le protocole Signal pour tous les messages. On pourrait donc se demander pourquoi ne pas continuer d’utiliser WhatsApp!
La réponse tient en un mot: métadonnées.
Les métadonnées et la collecte de data ont souvent déjà fait l’objet de débats. D’aucuns n’hésitent pas à déclarer ceci: ‘Nous ne pouvons visionner/écouter le contenu de votre communication, parce que nous utilisons le cryptage bout à bout. Nous ne collectons que les métadonnées.’
Le terme de métadonnée est souvent utilisé de manière vague. Par souci de clarté, vous en trouverez ci-après une définition plus claire.
Are your readers having trouble understanding the term “metadata”? Replace it with “activity records.” That’s what they are. #clarity
— Edward Snowden (@Snowden) 2 november 2015
Vous pouvez modifier vos choix à tout moment en cliquant sur « Paramètres des cookies » en bas du site.
Si vous doutez encore à propos de ce que sont les métadonnées, mieux vaut lire cet article posté sur le blog de Kurt Opsahl (Electronic Frontier Foundation). Il y cite quelques exemples de ce que les entreprises ou les autorités peuvent savoir en collectant des métadonnées.
Elles savent que vous avez appelé une ligne de sexe à 2H24′ pour une communication de 18 minutes, mais pas à propos de quoi.
Elles savent aussi que vous avez appelé la ligne prévention suicide au-dessus d’un pont surplombant l’autoroute. Mais le sujet de l’entretien est resté secret.
Elles savent encore que vous avez parlé avec un service qui effectue des tests HIV, puis avez appelé votre médecin et, durant la même heure, avec l’organisme qui gère votre assurance-maladie. Mais elles ne savent pas sur quoi ont porté ces conversations.
A présent que vous savez ce que sont les métadonnées, je vous signalerai au risque de me répéter que le cryptage bout à bout n’empêche pas que les services de messagerie puissent collecter des métadonnées.
Voyons d’un peu plus près ce que cela signifie.
Dans les FAQ de WhatsApp, on peut lire que l’appli a accès à tous les numéros de votre liste de contacts et qu’elle tient à jour un tas d’informations à votre sujet. Ce qui est intéressant, c’est que WhatsApp ne conserve aucun message sur ses serveurs. En lieu et place, ces messages se trouvent sur votre téléphone et finalement sur les serveurs où aboutissent les backups de votre téléphone. Pour les utilisateurs d’un iPhone, cela signifie que leurs messages WhatsApp se trouvent dans iCloud, si c’est là leur outil de sauvegarde.
La réponse à la question de savoir où aboutissent les informations collectées par WhatsApp à propos du lieu, de l’heure et avec qui vous communiquez, est beaucoup plus vague. WhatsApp tient les propos suivants: ‘Nous collectons des données de diagnostic et de performances liées au service. Cela comprend des renseignements concernant vos activités (comme la façon dont vous utilisez nos services, dont vous communiquez avec d’autres via nos services et autres), des historiques, ainsi que des enregistrements et rapports de plantage, sites web et performances.’
WhatsApp tient aussi à jour des informations spécifiques à l’appareil, lorsque vous y installez son service, vous vous y connectez ou l’utilisez. Cela va du modèle de GSM utilisé jusqu’à des informations relatives à votre navigateur, votre adresse IP et vos numéros de réseau mobile et de téléphone.
Si WhatsApp ne parvient pas à collecter ces informations via votre téléphone, il le fera, lorsque des personnes vous enverront un message, étant donné que WhatsApp a aussi accès aux données d’activité de vos amis.
Outre les backups non-cryptés, l’Electronic Frontier Foundation a également d’autres soucis dans le domaine de ce qu’on appelle la ‘key change notification’, de l’appli internet de WhatsApp et des données partagées avec Facebook, qui a racheté WhatsApp en 2014.
Tant qu’à parler de Facebook:
Facebook Messenger
Dans la MIT Technology Review, on pouvait lire: ‘Facebook collecte le plus volumineux gisement de données jamais recherchées sur le comportement social humain à ce jour.’
Je ne dois pas vous expliquer quelles données Facebook collecte. Facebook se présente comme votre ami. Le réseau social ne se complique pas la vie pour bien connaître le fidèle pote que vous êtes pour lui.
Tiré de la Déclaration de confidentialité de Facebook: ‘Quelles sortes de données sont-elles collectées?’
Nous collectons plusieurs sortes de données de et sur vous, en fonction des services que vous utilisez.
Choses que vous faites et données que vous fournissez: nous collectons le contenu et d’autres données que vous diffusez, lorsque vous utilisez nos services, notamment quand vous vous enregistrez pour créer un compte, créez ou partagez du contenu, et quand vous envoyez des messages et communiquez avec d’autres. Il peut s’agir de données dans et sur le contenu que vous fournissez, comme l’emplacement d’une photo ou la date de création d’un fichier. Nous collectons aussi des données sur la manière dont vous utilisez nos services, comme les genres de contenu que vous visionnez et à quel type de contenu vous réagissez, ainsi que la fréquence et la durée de vos activités.’
Choses que d’autres font et données qu’ils fournissent: nous collectons également les contenus et informations que d’autres personnes fournissent, lorsqu’elles utilisent nos services, dont des données vous concernant, lorsqu’elles partagent par exemple une photo de vous, vous envoient un message ou déposent, synchronisent ou importent vos données de contact.’
Vos réseaux et connexions: nous collectons des données sur les gens et les groupes auxquels vous êtes connecté et sur la façon dont vous traitez ces personnes et groupes, comme les gens avec qui vous communiquez le plus ou les groupes avec qui vous partagez beaucoup de choses. Nous collectons en outre les données de contact que vous fournissez, lorsque vous déposez, synchronisez ou importez ces données (comme un carnet d’adresses) à partir d’un appareil.
Données de paiement: si vous utilisez nos services pour effectuer des achats ou des transactions financières (comme quand vous achetez quelque chose sur Facebook, que vous faites un achat dans un jeu ou que vous faites un don), nous collectons des données sur l’achat ou la transaction. Nous collectons notamment vos données de paiement, comme le numéro de votre carte de crédit ou carte de banque, ainsi que d’autres données de cartes, de comptes et de contrôle, ainsi que des détails sur la facturation, l’envoi et les données de contact.
Données d’appareils: nous collectons les données de et sur les ordinateurs, téléphones et autres appareils sur lesquels vous installez ou ouvrez nos services, mais nous demandons votre autorisation au préalable. Nous pouvons associer les données collectées à vos différents appareils. Cela nous aide à proposer des services consistants sur tous vos appareils. Voici quelques exemples de données d’appareils que nous collectons:
Des caractéristiques comme le système d’exploitation, la version du hardware, les paramètres des appareils, les noms et les types de fichiers et de logiciels, la puissance des accus et l’intensité des signaux, ainsi que les ID d’appareils. Les emplacements des appareils, dont certains lieux géographiques, déterminés par les signaux GPS, Bluetooth ou wifi. Des données de connexion telles le nom de votre fournisseur mobile ou internet, le type de navigateur, la langue et le fuseau horaire, le numéro de téléphone mobile et l’adresse IP.
Données de sites web applis qui utilisent nos services: nous collectons des données, lorsque vous visitez des sites web et des applis de fournisseurs externes qui utilisent nos services (par exemple quand ils proposent le bouton ‘J’aime’ ou la possibilité d’enregistrement sur Facebook, ou s’ils utilisent nos services pour des mesures et de la publicité). Nous collectons notamment davantage de données sur les sites web et les applis que vous visitez, sur votre utilisation de nos services sur ces sites web et applis, ainsi que les données que le développeur ou l’éditeur de l’appli ou du site web vous ou nous donne.
Données de partenaires externes: nous recevons des données sur vous et vos activités de la part de partenaires externes, par exemple quand un partenaire et Facebook proposent conjointement des services, ou les données d’un annonceur à propos de vos expériences et de votre interaction.
Entreprises Facebook: nous obtenons des données sur vous de la part d’entreprises qui sont la propriété de ou qui sont dirigées par Facebook conformément aux conditions et aux règles stratégiques des entreprises en question.’
Google Allo
Google Allo fait l’objet de nombreuses critiques de la part des experts en sécurité. Google peut non seulement lire chaque message que vous envoyez, mais aussi tenir à jour toutes les conversations. C’est aussi simple que cela. Edward Snowden a twitté sa propre publicité ironique à propos d’Allo.
Telegram
Telegram est un cas à part. J’ai déjà signalé que son outil de cryptage offre théoriquement quelques failles. Mais indépendamment de cela, voyons ce que se service collecte sur vous.
Les messages, photos, vidéos et autres documents, sauf les messages Secret Chat, sont cryptés et conservés sur les serveurs de Telegram. Tout comme WhatsApp et Facebook, Telegram conserve votre liste de contacts. Ce faisant, le service peut vous envoyer une notification, lorsque quelqu’un de cette liste devient membre de Telegram. N’est-ce pas sympa de sa part?
Signal
La seule chose que conserve Signal, c’est le numéro de téléphone avec lequel vous vous enregistrez et la dernière fois que vous vous êtes connecté à leur serveur.
Rien de plus.
Le service ne tient même pas à jour l’heure précise – uniquement le jour.
Si vous fomentez d’odieux projets, Signal propose même les messages qui disparaissent.
Et Signal est gratuit. Vraiment gratuit, ce qui signifie qu’il ne va pas exploiter vos beaux yeux comme un produit à vendre à des annonceurs, comme le font Facebook ou Google. Ici, vous pouvez faire un cadeau à Signal.
Par ailleurs, le code sous-jacent à Signal est gratuit et open source. Vous pouvez le consulter sur Github.
Ce qui précède, est une traduction d’un article précédemment paru sur la page FreeCodeCamp de Medium.
Quelques conseils de lecture par l’auteur
Pourquoi devriez-vous vous soucier du respect de votre vie privée? Vous pourriez être tenté de penser que vous n’avez rien à cacher. Si vous pensez que votre confidentialité n’est pas importante, nous vous conseillons de lire TED de Glenn Greenwald ou les articles de Quincy Larson et Fábio Esteves. Ils vous expliquent respectivement comment crypter votre vie et pourquoi vous devriez vous préoccuper davantage du respect de celle-ci. Amul Kalia de l’Electronic Frontier Foundation vous explique pourquoi le cryptage est un droit de l’homme.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici