L’affirmation du Guardian selon laquelle l’application WhatsApp est plombée par une porte dérobée continue de faire des vagues chez les experts en cryptographie et les spécialistes en sécurité informatique. L’affaire a d’ailleurs tellement agité leur communauté qu’une petite quarantaine d’entre eux a décidé de publier une lettre ouverte pour manifester leur mécontentement sur la manière dont les choses ont été présentées.
Parmi les signataires, au nombre de trente-six, on retrouve plusieurs personnalités qui sont déjà apparues dans nos colonnes, comme Yan Zhu, Jonathan Zdziarski, Kenneth White, Nicholas Weaver, Filippo Valsorda, Bruce Schneier ou encore Matthew Green. Ils sont universitaires, indépendants ou employés, chez Google, le réseau Tor, Mozilla, Clouflare ou à l’Electronic Frontier Foundation (EFF).
S’adressant aux responsables du quotidien britannique qui ont autorisé la publication de l’article à l’origine de la polémique, les signataires considèrent que la journaliste a eu tort de laisser penser que WhatsApp contenait une « porte dérobée » (backdoor) alors que le souci en question, bien réel, relève plutôt d’un choix de conception, certes très discutable, qui peut constituer une vulnérabilité.
« Malheureusement, votre papier s’est avéré être la même chose qu’un article mal contextualisé avec ‘LES VACCINS TUENT’ comme gros titre. S’il est exact que dans quelques cas, les vaccins tuent des gens à cause d’effets secondaires regrettables et rares, ils sauvent aussi des millions de vies », rappelle la lettre ouverte, lancée par Zeynep Tufekci.
Zeynep Tufekci
CC James Duncan Davidson
L’universitaire turque, qui travaille notamment au centre de recherche Berkman Center for Internet & Society à l’université Harvard, estime qu’il aurait fallu consulter beaucoup plus de spécialistes avant de publier quoi que ce soit. « Vous n’auriez jamais dû évoquer une question aussi cruciale sans interroger un large éventail d’experts ». Or, d’après elle, cela a provoqué des dégâts auprès du grand public.
« Depuis la publication de votre récit, nous avons observé et entendu de l’inquiétude chez les militants, les journalistes et les particuliers qui utilisent WhatsApp, nous disant que des individus optent pour les SMS et Facebook Messenger, parmi d’autres possibilités — autant de services qui sont strictement moins sûrs que WhatsApp », poursuivent les signataires.
Le phénomène décrit n’est pas une backdoor de WhatsApp
Or « le phénomène décrit dans votre papier n’est pas une backdoor de WhatsApp. Il s’agit d’un consensus écrasant au sein de la communauté des cryptographes et des experts en sécurité informatique. […] Ce que vous mettez en évidence est un compromis mesuré entre une menace à distance et de réels avantages qui aident les utilisateurs à rester en sécurité », poursuit le courrier.
Moxie Marlinspike
CC John S. and James L. Knight Foundation
Déjà la semaine dernière, l’activiste Moxie Marlinspike, un expert en cryptographie qui est à l’origine de l’organisation Open Whisper Systems, avait pris la parole pour expliquer « qu’il n’y a pas de porte dérobée dans WhatsApp ». Moxie Marlinspike est très au fait de ces sujets puisqu’il a conçu le protocole open source qui est utilisé par WhatsApp mais aussi par Signal, son service de messagerie chiffrée.
Signal, rappelons-le, est une plateforme que le lanceur d’alerte Edward Snowden lui-même recommande. « Utilisez tout ce qui provient d’Open Whisper Systems », conseille-t-il. De son côté, l’EFF lui avait attribuée la meilleure note possible tandis que WhatsApp obtenait aussi un excellent score. Toutefois, l’EFF ne conseille pas WhatsApp pour des discussions chiffrées, estimant que l’application souffre de certaines faiblesses.
De son côté, WhatsApp avait aussi réagi à la publication du Guardian en contestant la façon dont les choses ont été présentées.
« WhatsApp ne fournit pas de porte dérobée aux gouvernements dans ses systèmes et se dresserait contre toute demande visant à en instaurer une. La décision de conception citée dans l’article du Guardian empêche des millions de messages d’être perdus et WhatsApp offre des notifications de sécurité aux personnes pour les alerter sur les risques de sécurité potentiels ».
Et d’ajouter que la messagerie « a publié un livre blanc technique sur son utilisation du chiffrement, a été transparente sur les requêtes gouvernementales qu’elle reçoit et publie ces données » dans le cadre du rapport de Facebook sur les demandes administratives et judiciaires adressées au réseau social. Car en effet, WhatsApp est depuis 2014 une filiale de Facebook.
« Les individus ne sont pas libres dans le choix des applications qu’ils utilisent ; ils vont vers celles qui ont la plus grande base d’utilisateurs (c’est-à-dire celles où se trouvent les personnes avec lesquelles ils veulent se connecter) et celles dont la prise en main se fait sans heurt. Le fait de causer des inquiétudes inutiles et injustifiées au sujet de WhatsApp est susceptible de faire renoncer à l’idée d’utiliser des applications sécurisées chez de nombreux utilisateurs », reprennent les signataires.
WhatsApp protège effectivement les gens face à la surveillance de masse
Ils poursuivent : « WhatsApp protège effectivement les gens face à la surveillance de masse. Les attaques individuellement ciblées provenant d’adversaires puissants prêts à fournir un effort notable pour compromettre la sécurité d’une seule personne sont un type de menace d’une autre nature. Si c’est ce modèle de menace qui est en tête, se contenter de recommander Signal est irresponsable ».
« Votre article imprudent et décontextualisé pose l’idée d’un personnage fictif semblable à Snowden faisant face à un adversaire puissant doté de ressources conséquentes, pour qui WhatsApp ne serait pas un bon choix. De cela le papier conclut que WhatsApp n’est pas sûr pour le milliard de personnes qui l’utilisent et qui, pour le moment, figure parmi les meilleures options pour une communication sécurisée », concluent-ils.
Le Guardian doit en tirer des leçons
Pour les signataires, c’est bien simple : il faudrait tout simplement que le Guardian se rétracte et publie des excuses, en indiquant que l’attaque en question est très complexe à mettre en œuvre et que le risque réel est franchement réduit. En outre, même en cas de vulnérabilité, WhatsApp dispose de mécanismes d’alerte qui peuvent se déclencher et indiquer à l’utilisateur qu’il y a un problème.
Ils en profitent au passage pour inviter le Guardian, qui reste une référence dans la presse, à se montrer encore plus attentif aux sujets technologiques que le journal est amené à traiter. Les signataires ont bien conscience que les journalistes ne peuvent pas être des pointures en tout, et que certaines problématiques sont ardues à appréhender, mais il y a justement des spécialistes qui sont là pour ça.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
