Le sujet est sur la table depuis ce printemps : WhatsApp doit prochainement fournir du chiffrement pour les historiques de discussion qui sont sauvegardées dans le cloud, c’est-à-dire sur iCloud ou Google Drive. Et pas n’importe quel type de chiffrement : il est promis du chiffrement de bout en bout, c’est-à-dire qui interdit à quiconque d’accéder au contenu de cette archive, sauf la personne qui en est à l’origine.
Depuis les premiers indices repérés en mars, ni WhatsApp ni sa maison-mère Facebook n’avaient encore pris la parole. Il fallait attendre manifestement la communication du grand patron Mark Zuckerberg : en effet, l’intéressé a écrit sur sa page personnelle un court message le 10 septembre pour confirmer l’arrivée du chiffrement de bout en bout sur les sauvegardes dans le cloud — sauvegarde qui est facultative.
« Nous ajoutons une autre couche de confidentialité et de sécurité à WhatsApp : une option de chiffrement de bout en bout pour les sauvegardes que les gens choisissent de stocker dans Google Drive ou iCloud », écrit-il, avant de faire observer que WhatsApp devient de fait « le premier service de messagerie mondial à cette échelle à offrir une messagerie et des sauvegardes chiffrées de bout en bout ».
Le chiffrement de bout en bout arrive aussi pour les sauvegardes dans le cloud. // Source : Nino Barbey pour Numerama
La prise de parole de Mark Zuckerberg s’accompagne de la publication d’un billet, sur le blog d’ingénierie de Facebook, détaillant comment WhatsApp procède pour le chiffrement de bout en bout sur iCloud et Google Drive. Coïncidence du calendrier ? Elle survient quelques jours après la publication un article critique du média d’investigation ProPublica, sur le chiffrement pratiqué par Whatsapp.
Un article qui a pu donner à tort l’impression que les messages échangés sur Whatsapp pouvaient facilement être consultés par des modérateurs de l’entreprise. Rappelons que ce n’est pas le cas: ce ne sont que des bouts de discussion qui peuvent être vus, mais dans des circonstances très spécifiques : uniquement si une personne figurant légitimement dans la boucle fait un signalement. En clair, des personnes échangeant des messages et des médias sur WhatsApp gardent leurs conversations hors de vue de WhatsApp. Mais si l’une d’elles dénonce un message à la modération, parce qu’elle estime qu’il y a une activité illégale (phishing, spam, apologie du terrorisme, pédopornographie, etc.) par exemple, alors la modération reçoit en clair des extraits pour statuer sur les faits.
Mark Zuckerberg n’a pas commenté la publication de ProPublica. Au-delà de la confusion sur le chiffrement de bout en bout, le fait est que les modérateurs peuvent accéder à des bouts de discussion, du fait de la procédure de signalement, et que WhatsApp est dans le même temps pointé du doigt sur l’importante collecte de métadonnées qui a lieu autour des conversations.
À la place, il a souligné dans son message le degré de complexité auquel les équipes ont été confrontées pour le chiffrement de bout en bout des sauvegardes : « y parvenir était un défi technique très difficile qui nécessitait un cadre entièrement nouveau pour le stockage des clés et le stockage à distance à travers divers systèmes d’exploitation » — Android et iOS du côté des smartphones, et peut-être aussi les OS de bureau, comme Windows ou macOS.
La protection de l’archive dans le cloud pourra être effectuée de deux manières. Elle arrive avec un certain retard, dans la mesure où le chiffrement de bout en bout est opérationnel par défaut sur WhatsApp depuis 2016. Les sauvegardes en étaient tenues à l’écart, ce qui constituait de fait un point de fragilité dans la chaîne de sécurité, en cas de violation du compte iCloud ou Google Drive associé.
Polémique à venir sur l’accès aux données ?
Le chiffrement de bout en bout sur le cloud va sans doute recevoir un accueil mitigé, selon qui commente : cette mesure va permettre d’ajouter une couche de protection qui évitera, même en cas d’accès frauduleux au compte (ce qui n’est déjà pas évident, Google Drive et Apple fournissant déjà un haut degré de sécurité à leur cloud), de préserver le caractère privé des messages.
Elle va aussi poser une problématique d’ordre judiciaire et policière : lors d’investigations, Apple et Google sont susceptibles de livrer des informations issues d’un compte dans le cloud. Cela s’est déjà vu et est cadré juridiquement. Or, de fait, les archives WhatsApp vont devenir inexploitables sous ce nouveau régime. Le FBI a souvent déploré que le chiffrement barre la route de ses enquêteurs.
Ces dernières années, la question du chiffrement a donné lieu à des oppositions parfois significatives, voire violentes, entre les entreprises de la tech, les associations de défense des libertés individuelles dans le numérique, les politiques et les forces de l’ordre — avec parfois des affaires allant en justice. Outre-Atlantique, Apple s’est parfois retrouvé face au FBI sur ces sujets, potentiellement sensibles, car ayant trait au terrorisme.
Christopher Wray, l'actuel patron du FBI.
Source : FBI
Ces sujets soulèvent aussi des questions de fond : quel équilibre faut-il atteindre entre la sécurité et les libertés ? Est-il souhaitable de faire des smartphones de véritables boîtes noires, impénétrables à tout regard, y compris quand la justice l’autorise ? Faut-il inventer des portes dérobées secrètes ? Est-ce acceptable dans la mesure où elles pourraient être trouvées par des personnes très mal intentionnées ? Etc.
L’orientation prise par WhatsApp et Facebook est clairement de nature à remettre une pièce dans la machine, exactement comme d’autres initiatives sur ce terrain ont fait réagir les autorités politiques, judiciaires et policières, aux USA ou ailleurs. Le fait, néanmoins, que les forces de l’ordre, justement, se dotent aussi d’outils de plus en plus élaborés pour contourner le chiffrement, montrent qu’elles ne sont pas démunies.
Nul doute que le papier blanc publié par WhatsApp sera ausculté de près, pour savoir à quoi s’en tenir. Pour l’heure, le juste milieu choisi par WhatsApp est de rendre optionnel son chiffrement de bout en bout dans le cloud : il faudra donc l’activer volontairement pour l’avoir. Le déploiement est attendu dans les semaines à venir, indique la messagerie, sans précision particulière sur l’échéance.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
