Dans une enquête parue le 7 septembre, le média d’investigation ProPublica s’est replongé dans les données que WhatsApp peut collecter sur ses utilisateurs. Le journal s’appuie sur des documents confidentiels et des « douzaines d’interviews » avec d’anciens et actuels employés de WhatsApp.
L’entreprise ne se cache pas vraiment de collecter des données, mais elle a récemment été sanctionné d’une amende en Europe pour son manque de transparence. De leur côté, les utilisateurs ne sont pas toujours au courant des données qu’ils exposent, notamment car WhatsApp a construit une partie de son succès sur sa réputation de sécurité.
WhatsApp protège les conversations par le chiffrement de bout-en-bout.
Source : Melvyn Dadure pour Numerama
À l’instar de ses concurrents Signal et Telegram, l’application de messagerie protège les communications avec le chiffrement de bout en bout. Sans rentrer dans les détails techniques, cette protection rend les conversations inintelligibles sur tout autre appareil que ceux des deux interlocuteurs. Si un individu intercepte le message avant son arrivée à destination, il ne verra qu’une suite incohérente de caractères dont il ne pourra pas déchiffrer le sens.
Mais cette protection des messages ne signifie pas que l’application reste entièrement éloignée de la vie privée des utilisateurs.
WhatsApp collecte les messages signalés
D’après Pro Publica, « plus de 1 000 travailleurs » embauchés par l’entreprise Accenture consacreraient leur temps à la modération des contenus échangés sur l’app. Pour rappel, ils ne peuvent pas analyser n’importe quel message, puisque ces derniers sont protégés par le chiffrement de bout en bout. En revanche, ils reçoivent des morceaux de conversation, par blocs de 5 messages (textes, mais aussi images et vidéos), issus de la procédure de signalement de l’app. Pédopornographie, apologie du terrorisme, simples arnaques : toutes sortes de contenus louches, malveillants ou encore illégaux y passent.
Concrètement, si vous recevez un phishing ou des menaces, vous pouvez signaler le message à WhatsApp. Une fenêtre d’avertissement s’affichera : « les derniers messages de ce contact seront envoyés à WhatsApp. Le contact n’en sera pas informé ». Tous les signalements effectués sont agrégés dans un grand flux, puis une première étape de tri est effectuée par des logiciels d’analyse automatique développés par Facebook. Cette sorte de premier tamis permet de statuer sur les cas évidents d’abus.
Ce message apparaît lorsque l'on signale un numéro sur WhatsApp. Il prévient que des messages seront envoyés à WhatsApp.
Source : Capture d'écran Numerama
Dès que le système ne peut lever l’ambiguïté d’une situation, le dossier passe à un modérateur humain. Il aura trois options : ignorer le signalement, bannir le compte, où l’indiquer comme potentiellement malveillant. Pro Publica précise que chaque employé peut statuer sur plusieurs centaines de signalements de ce genre par jour. En tout, les équipes analysent des « millions » de signalements par semaine.
L’existence de cette fonctionnalité de signalement signifie que réciproquement, une personne pourrait faire suivre à WhatsApp des messages que vous lui aurez envoyés. C’est un rappel que même dans une conversation protégée de bout en bout, les messages s’affichent en clair aux deux bouts. Si l’émetteur ou le destinataire décide de partager le contenu, ce n’est pas le chiffrement qui est remis en question, mais la relation de confiance entre les deux interlocuteurs.
Autrement dit, WhatsApp ne collecte pas vos messages, mais il peut y jeter un œil si votre interlocuteur lui en fait parvenir. L’entreprise se félicite d’ailleurs de ce système, qui, bien qu’invasif, lui permet de concilier chiffrement de bout en bout et lutte contre la fraude (et notamment le phishing).
Des métadonnées un peu trop bavardes
En plus des messages signalés, l’application a aussi accès à d’autres informations sur l’utilisateur, regroupées sous le terme « métadonnées ». Pour expliquer ce jargon, Pro Publica reprend une comparaison avec le courrier traditionnel qui s’applique bien à la situation.
Un message envoyé sur WhatsApp pourrait s’apparenter à une lettre, qui ne pourrait être déchiffrée qu’à l’aide d’un code établi au préalable et gardé secret par les deux correspondants. Si la lettre est interceptée, le voleur pourra sûrement ouvrir le scellé, mais il ne pourra pas lire son contenu, car il n’aura pas la clé pour le déchiffrer.
En revanche, un éventuel « méchant » pourrait lire les informations indiquées sur l’enveloppe, comme l’adresse du destinataire de la lettre. Et il pourrait ainsi remonter à sa future victime. Les métadonnées sont l’équivalent des informations indiquées sur l’enveloppe. Un certain nombre d’entre elles sont essentielles à l’établissement de la correspondance.
WhatsApp doit communiquer les données qu’il collecte sur demande de la justice
D’autres sont dispensables : c’est pourquoi d’autres apps encore plus respectueuses de la vie privée (comme Signal) tentent de limiter leur collecte à un minimum. La raison ? Les lois de plusieurs pays, comme les États-Unis et la France, permettent à la justice de les obtenir dans le cadre de certaines procédures d’enquête. Et s’il existe un moyen d’obtenir ces informations, il y a un risque pour l’utilisateur que l’entreprise qui les collecte, les monétise, ou que des hackers puissent s’en emparer.
Dans le détail, les métadonnées contiennent :
- Les noms et images affichés par l’utilisateur sur l’app (et ceux de ses groupes)
- Son numéro de téléphone,
- Le statut des messages (envoyé, réceptionné, lu)
- Le niveau de batterie du smartphone
- Le fuseau horaire de l’utilisateur
- La langue d’utilisation de l’app
- Le système d’exploitation du smartphone (Android ou iOS, et leur version)
- La date de la dernière utilisation de l’app
- Les comptes Facebook et Instagram qui sont liés au numéro de téléphone, si tel est le cas.
Bref, un cocktail de données très complet, qui suffit dans certains cas à obtenir des informations supplémentaires sur les utilisateurs, pour faire du ciblage publicitaire ou pour les identifier, par exemple. Le tout, alors que le contenu des messages est protégé.
Récemment, les métadonnées communiquées par ce système ont permis d’identifier une représentante du Trésor américain qui a envoyé à BuzzFeed des documents confidentiels exposants les pires pratiques des banques américaines. Nathalie « May » Edwards a ainsi été arrêtée malgré son acte de lanceuse d’alerte, en partie à cause de son utilisation de WhatsApp, précise ProPublica.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
