Actualisé

FacebookWhatsApp nie la présence d'une «porte dérobée»

Le système de chiffrement du service de messagerie instantanée a fait l'objet d'un débat.

par
man
L'app de messagerie instantanée, propriété de Facebook, revendique plus d'un milliard d'utilisateurs.

L'app de messagerie instantanée, propriété de Facebook, revendique plus d'un milliard d'utilisateurs.

Keystone/Frank may

Un article du «Guardian», paru en fin de semaine dernière, a été accueilli avec beaucoup de scepticisme par les experts en sécurité informatique. Tobias Boelter, chercheur en cryptographie et sécurité de l'Université de Californie à Berkeley, y expliquait avoir découvert la présence d'une «porte dérobée» sur Whats­App. Selon lui, elle permet d'avoir accès aux conversations cryptées des usagers de l'app de messagerie instantanée, alors qu'elles sont censées être protégées par Signal, protocole de chiffrement de bout en bout d'Open Whisper.

Cette porte dérobée, affirme le «Guardian», permet à Whats­App de récupérer des messages cryptés envoyés mais pas encore lus, lorsque les téléphones des destinataires sont éteints. Le service peut alors les déchiffrer et les renvoyer au correspondant, qui n'est pas informé du changement de chiffrement.

«Rien de nouveau», pour le chercheur Frédéric Jacobs, qui a notamment travaillé sur Signal, rapporte «Le Monde». «Bien sûr, si vous ne vérifiez pas vos clés, WhatsApp, Signal ou d'autres ont la possibilité d'intercepter vos communications». Il rappelle que dans les réglages de l'app, il est possible d'activer les notifications pour être informé lorsque la clé des destinataires change.

WhatsApp s'est défendu d'offrir toute porte dérobée vers ses systèmes. Un porte-parole a justifié la possibilité de générer de nouvelles clés de cryptage comme une facilité offerte à ses clients, qui dans de nombreux pays changent fréquemment de carte Sim et d'appareil téléphonique, afin que leurs messages ne soient pas perdus.

Pour le journal français, le choix de WhatsApp pourrait présenter un risque de sécurité dans des cas exceptionnels, mais l'interception des messages serait néanmoins complexe à mettre en oeuvre.

Ton opinion

Trouvé des erreurs?Dites-nous où!