Au Brésil, un juge a sanctionné Facebook parce qu'il n'a pas donné accès à des messages chiffrés sur WhatsApp, sa filiale dans la messagerie instantanée. L'amende s'élève à 33 millions de dollars. Le réseau social envisage de lancer un recours.

Par définition, une entreprise qui fournit un logiciel permettant de chiffrer de bout en bout des communications n’est pas en mesure d’accéder en clair aux discussions qui transitent par son service. En effet, les clés de déverrouillage qui servent à consulter les échanges ne sont connues que des personnes mêlées à la discussion. Dès lors, il n’est en principe pas possible de la lire sans posséder cette clé.

Or, il s’avère que cette réalité technique n’a manifestement pas constitué une raison suffisante, ou valable, à un juge brésilien puisque Reuters indique que Facebook a été condamné à une amende de 33 millions de dollars pour ne pas être parvenu à fournir à la justice des messages échangés sur WhatsApp, une application de messagerie instantanée achetée en 2014 par le réseau social.

L’agence de presse indique que l’affaire opposant la maison-mère de WhatsApp aux tribunaux brésiliens tourne autour d’une enquête visant des particulier suspectés de fraude au système de santé dans l’Amazonas, l’un des États fédérés du Brésil. Il s’agit d’une affaire qui date, le conflit entre les autorités locales et le site américain existant déjà en 2016.

Signal Le protocole Signal est supervisé par Open Whisper Systems, une organisation fondée par l’activiste Moxie Marlinspike, un expert en cryptographie. Elle a engendré la messagerie sécurisée Signal, que le lanceur d’alerte Edward Snowden conseille chaudement : « utilisez n’importe quoi [fait] par Open Whisper Systems ».

Il faut savoir que WhatsApp se sert du protocole open source de Signal pour chiffrer de bout en bout les communications de sa communauté, ce que la messagerie explique dans un papier technique. Sauf à supposer qu’il existe une porte dérobée dans WhatsApp ou que l’implémentation du protocole Signal est bancale, deux hypothèses qui ne sont pas démontrées, WhatsApp n’a pas accès aux discussions.

Au sujet des portes dérobées, WhatsApp a déclaré que son équipe « ne fournit pas de porte dérobée aux gouvernements dans ses systèmes et se dresserait contre toute demande visant à en instaurer une ». En outre, rien n’est stocké sur ses serveurs :, si les messages sont supprimés ou perdus pour une raison quelconque, l’application ne peut rien faire pour les récupérer, faute d’historique.

Certes, WhatsApp n’offre pas une protection absolument parfaite : il existe certaines faiblesses dans la manière dont l’application a été conçue, ce qui n’a pas manqué d’être relevé, mais, au sujet d’une prétendue porte dérobée évoquée début 2017, plusieurs experts reconnus en cryptographie ont critiqué cette présentation des faits, jugeant plutôt qu’il s’agit d’un arbitrage technique justifié.

WhatsApp « figure parmi les meilleures options pour une communication sécurisée », en protégeant effectivement « les gens face à la surveillance de masse », ont-ils relevé Et de rappeler que « les attaques individuellement ciblées provenant d’adversaires puissants |comme la NSA, ndlr] prêts à fournir un effort notable pour compromettre la sécurité d’une seule personne sont un type de menace d’une autre nature ».

Au mieux, des métadonnées

Le fait que Whatsapp fournisse du chiffrement de bout en bout est la raison pour laquelle Facebook n’a pu apporter qu’une aide limitée à la police britannique lorsqu’il y a eu les attentats de Londres il y a un peu plus d’un an. Tout ce que peut fournir la messagerie, ce sont les métadonnées relatives à la transmission des conversations : qui sont les participants, à quelle heure les messages sont envoyés, etc.

Dans le cas du Brésil, c’est sans doute des métadonnées que l’entreprise a pu fournir aux autorités. L’affaire pourrait ne pas en rester là : le réseau social envisage de mobiliser tous les recours judiciaires à sa disposition pour échapper à cette sanction. On relèvera au passage que 2016 est aussi l’année à partir de laquelle WhatsApp a activé par défaut le chiffrement de bout en bout.