Pourquoi WhatsApp ne sera jamais sûr et sécurisé
L’article ci-dessous n’est autre que la traduction de celui de Pavel Durov le fondateur de la messagerie Telegram, paru en mai dernier en guise de réponse aux révélations sur le piratage (et les suivants) de WhatsApp. Il nous explique notamment en quoi WhatsApp ne sera jamais sûr et sécurisé (la version originale en anglais se trouve ici).
« Le monde semble choqué d’apprendre que WhatsApp a transformé n’importe quel téléphone en spyware. Tout ce qui se trouvait sur votre téléphone – y compris les photos, les courriels et les messages – pouvait être accessible par des attaquants simplement parce que vous aviez installé WhatsApp [1].
Cette nouvelle ne m’a pas surpris. L’an dernier, WhatsApp a dû admettre qu’ils avaient un problème très similaire – un seul appel vidéo via WhatsApp était tout ce dont un pirate avait besoin pour accéder à toutes les données de votre téléphone [2].
Chaque fois que WhatsApp doit corriger une vulnérabilité critique dans son application, une nouvelle vulnérabilité semble prendre sa place. Tous leurs problèmes de sécurité sont convenablement adaptés à la surveillance, ressemblant beaucoup à des portes dérobées et fonctionnant comme comme telles.
Contrairement à Telegram, WhatsApp n’est pas open source, donc il n’y a aucun moyen pour les chercheurs en sécurité de vérifier facilement si son code contient des portes dérobées ou pas. Non seulement WhatsApp ne publie pas son code, mais il fait exactement le contraire : WhatsApp obscurcit délibérément les binaires de leurs applications pour s’assurer que personne ne peut les étudier à fond.
WhatsApp et sa société mère Facebook peuvent même être amenés à mettre en place des portes dérobées – via des processus secrets tels que les obligations de silence du FBI [3]. Il n’est pas facile d’exécuter une application de communication sécurisée depuis les États-Unis. Une seule semaine passée par notre équipe aux États-Unis en 2016, nous a valu trois tentatives d’infiltration par le FBI [4] [5]. Imaginez ce que 10 ans dans cet environnement peuvent faire à une entreprise américaine.
Les agences de sécurité usent de l’argument anti-terroriste pour justifier l’installation de portes dérobées. Le problème, est que ces portes dérobées peuvent aussi être utilisées par des criminels et des gouvernements autoritaires. Pas étonnant que les dictateurs semblent aimer WhatsApp : son manque de sécurité leur permet d’espionner leur propre peuple, de sorte que WhatsApp continue à être librement disponible dans des endroits comme la Russie ou l’Iran, où Telegram est interdit par les autorités [6].
En fait, j’ai commencé à travailler sur Telegram en réponse directe aux pressions personnelles des autorités russes. A l’époque, en 2012, WhatsApp transférait encore des messages en texte clair. C’était de la folie. Pas seulement les gouvernements ou les hackers, mais aussi les fournisseurs mobiles et les administrateurs WiFi avaient accès à tous les messages WhatsApp [7] [8].
Plus tard, WhatsApp a ajouté du chiffrement, qui s’est rapidement avéré être un stratagème marketing : la clé pour déchiffrer les messages était à la disposition d’au moins plusieurs gouvernements, dont les Russes [9]. Puis, alors que Telegram commençait à gagner en popularité, les fondateurs de WhatsApp ont vendu leur entreprise à Facebook et ont déclaré que « la vie privée était dans leur ADN » [10]. Si c’est vrai, cela doit être un gène dormant ou récessif.
Il y a trois ans, WhatsApp a annoncé la mise en place d’un chiffrement de bout en bout pour qu' »aucun tiers ne puisse accéder aux messages ». Cela a coïncidé avec une poussée agressive pour que tous ses utilisateurs sauvegardent leurs discussions dans le nuage. Lors de cette poussée, WhatsApp n’a pas dit à ses utilisateurs qu’une fois sauvegardés, les messages ne sont plus protégés par un chiffrement de bout en bout et sont accessibles aux pirates et aux services de police [11]. Un marketing brillant, et certaines personnes naïves purgent leur peine en prison à cause de cela [12].
Les utilisateurs de WhatsApp suffisamment résilients pour ne pas tomber dans le piège des fenêtres contextuelles incessantes leur disant de sauvegarder leurs discussions peuvent toujours être suivis par un certain nombre d’autres astuces – de l’accès aux sauvegardes de leurs contacts aux modifications invisibles de la clé de cryptage [13]. Les métadonnées générées par les utilisateurs de WhatsApp – journaux décrivant qui discute avec qui et quand – sont divulguées à toutes sortes d’agences en grand nombre par la société mère de WhatsApp [14].
WhatsApp a une histoire cohérente – du chiffrement zéro à sa création à une succession de problèmes de sécurité étrangement adaptés à des fins de surveillance. Rétrospectivement, il n’y a pas eu un seul jour au cours des dix années de voyage de WhatsApp où ce service a été sécurisé. C’est pourquoi je ne pense pas que le simple fait de mettre à jour l’application mobile de WhatsApp la rendra sécurisée pour tout le monde. Pour que WhatsApp devienne un service axé sur la protection de la vie privée, il doit prendre le risque de perdre des marchés entiers et de se heurter aux autorités de son pays d’origine. Ils ne semblent pas prêts pour ça [15].
L’année dernière, les fondateurs de WhatsApp ont quitté l’entreprise pour des raisons de confidentialité des utilisateurs [16]. Ils sont sûrement liés par des obligations de silence ou des accords de non-divulgation, de sorte qu’ils sont incapables de discuter en public sans risquer leur fortune et leur liberté. Ils ont cependant pu admettre qu’ils « vendaient la vie privée de leurs utilisateurs » [17].
Je peux comprendre la réticence des fondateurs de WhatsApp à fournir plus de détails – il n’est pas facile de mettre votre confort en danger. Il y a plusieurs années, j’ai dû quitter mon pays après avoir refusé de me conformer aux atteintes à la vie privée des utilisateurs de VK sanctionnées par le gouvernement [18]. Ce n’était pas agréable. Mais est-ce que je referais quelque chose comme ça ? Avec plaisir. Chacun d’entre nous va mourir un jour ou l’autre, mais nous, en tant qu’espèce, nous allons rester dans les parages pendant un certain temps. C’est pourquoi je pense que l’accumulation d’argent, de gloire ou de pouvoir n’a aucune importance. Servir l’humanité est la seule chose qui compte vraiment à long terme.
Et pourtant, malgré nos intentions, j’ai l’impression que nous laissons tomber l’humanité dans toute cette affaire de spyware WhatsApp. Beaucoup de gens ne peuvent pas s’arrêter d’utiliser WhatsApp, parce que leurs amis et leur famille sont toujours à bord. Cela signifie qu’à Telegram, nous n’avons pas réussi à persuader les gens de changer de fournisseur. Bien que nous ayons attiré des centaines de millions d’utilisateurs au cours des cinq dernières années, ce n’était pas suffisant. La majorité des internautes sont toujours pris en otage par l’empire Facebook/WhatsApp/Instagram. Beaucoup de ceux qui utilisent Telegram sont aussi sur WhatsApp, ce qui signifie que leurs téléphones sont encore vulnérables. Même ceux qui ont complètement abandonné WhatsApp utilisent probablement encore Facebook ou Instagram, qui pensent tous les deux qu’il est acceptable de stocker vos mots de passe en texte clair [19] [20] (je ne peux toujours pas croire qu’une société de technologie puisse faire quelque chose comme ça et s’en tirer).
En presque six ans d’existence, Telegram n’a pas connu de fuites de données majeures ou de failles de sécurité comme WhatsApp le démontre régulièrement. Au cours des six mêmes années, nous avons divulgué exactement zéro octet de données à des tiers, alors que Facebook/WhatsApp a partagé à peu près tout avec tous ceux qui prétendaient travailler pour un gouvernement.
Peu de personnes en dehors de la communauté des fans de Telegram se rendent compte que la plupart des nouvelles fonctionnalités de messagerie apparaissent d’abord sur Telegram, et sont ensuite copiées en carbone par WhatsApp jusque dans les plus petits détails. Plus récemment, nous avons assisté à la tentative de Facebook d’emprunter toute la philosophie de Telegram, avec Zuckerberg déclarant soudainement l’importance de la vie privée et de la vitesse, citant pratiquement mot à mot la description de l’application Telegram dans son discours des développeurs à la conférence F8.
Mais se plaindre de l’hypocrisie et du manque de créativité de Facebook ne servira à rien. Nous devons admettre que Facebook exécute une stratégie efficace. Regardez ce qu’ils ont fait à Snapchat [21].
Chez Telegram, nous devons reconnaître notre responsabilité dans la construction de l’avenir. C’est nous ou le monopole de Facebook. C’est soit la liberté et la vie privée, soit la cupidité et l’hypocrisie. Notre équipe est en compétition avec Facebook depuis 13 ans. Nous les avons déjà battus une fois, sur le marché des réseaux sociaux d’Europe de l’Est [22]. Nous les battrons à nouveau sur le marché mondial de la messagerie. Nous devons le faire.
Ce ne sera pas facile. Le département marketing de Facebook est énorme. Nous, à Telegram cependant, nous ne faisons aucun marketing. Nous ne voulons pas payer des journalistes et des chercheurs pour parler au monde entier de Telegram. Pour cela, nous comptons sur vous – les millions de nos utilisateurs. Si vous aimez assez Telegram, vous en parlerez à vos amis. Et si chaque utilisateur de Telegram persuade trois de ses amis de supprimer WhatsApp et de passer en permanence à Telegram, alors Telegram sera déjà plus populaire que WhatsApp.
L’ère de la cupidité et de l’hypocrisie prendra fin. Une ère de liberté et de vie privée va commencer. C’est beaucoup plus proche qu’il n’y paraît.«
[1] Global News WhatsApp hacked after attackers install spyware on people’s phone – 14 mai 2019
[2] Security Today WhatsApp Bug Allowed Hackers to Hijack Accounts – 12 octobre 2018
[3] Wikipedia Gag order – United States
[4] Neowin FBI asked Durov and developer for Telegram backdoor – 9 septembre 2017
[5] The Baffler The Crypto-Keepers – 17 septembre 2017
[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – 2 mai 2018
[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – 19 mai 2011
[8] The H Security Sniffer tool displays other people’s WhatsApp messages – 13 mai 2012
[9] FilePerms WhatsApp is broken, really broken – September 12, 2012
[10] International Business Times Respect for Privacy Is Coded Into WhatsApp’s DNA: Founder Jan Koum – 18 mars 2014
[11] Independent WhatsApp Update Brings Backups That Are Not Encrypted and So Could Allow People to Read Messages – 28 août 2018
[12] Slate How Did the FBI Access Paul Manafort’s Encrypted Messages? – 5 juin 2018
[13] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – 13 janvier 2017
[14] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops – 22 janvier 2017
[15] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – 22 novembre 2016
[16] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – 30 avril 2018
[17] CNET WhatsApp co-founder: ‘I sold my users’ privacy’ with Facebook acquisition – 25 septembre 2018
[18] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – 2 décembre 2014
[19] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – 21 mars 2019
[20] The Verge Facebook stored millions of Instagram passwords in plain text – 18 avril 2019
[21] Vanity Fair Snapchat is doing so badly, the feds are getting involved – 14 novembre 2018
[22] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – 26 octobre 2012
Derniers commentaires