Faille de sécurité WhatsApp : En mars, l’équipe de sécurité de WhatsApp a émis un avertissement interne alarmant : malgré le cryptage puissant de l’application, les utilisateurs restent vulnérables à une forme dangereuse de surveillance gouvernementale. Selon une évaluation des menaces obtenue par The Intercept, le contenu des conversations reste sécurisé. Cependant, les agences gouvernementales peuvent contourner ce cryptage pour déterminer qui communique avec qui, l’adhésion à des groupes privés, et peut-être même localiser les utilisateurs.
Cette vulnérabilité repose sur l’analyse du trafic, une technique de surveillance des réseaux vieille de plusieurs décennies, et nécessite une surveillance à grande échelle du trafic Internet national. Le document indique clairement que WhatsApp n’est pas la seule plateforme de messagerie susceptible à cette faille, mais insiste sur le fait que Meta, propriétaire de WhatsApp, doit rapidement décider s’il faut prioriser la fonctionnalité de son application de messagerie ou la sécurité d’un segment restreint mais vulnérable de ses utilisateurs.
Le contexte de la surveillance
Dans le contexte de la guerre en cours à Gaza, cet avertissement a soulevé des inquiétudes chez certains employés de Meta. Ils spéculent qu’Israël pourrait exploiter cette vulnérabilité pour surveiller les Palestiniens, à un moment où la surveillance numérique aide à décider qui tuer à travers la bande de Gaza.
« WhatsApp n’a pas de portes dérobées et nous n’avons aucune preuve de vulnérabilités dans le fonctionnement de WhatsApp », a déclaré Christina LoNigro, porte-parole de Meta. Pourtant, l’évaluation montre comment les gouvernements peuvent utiliser leur accès aux infrastructures Internet pour surveiller quand et où les communications cryptées se produisent. Cela permet de faire des inférences puissantes sur qui communique avec qui, même si le contenu des conversations reste mystérieux.
Techniques et implications
Les techniques de surveillance mentionnées incluent l’observation du trafic réseau et la mesure des délais de transmission des messages, des méthodes suffisamment sophistiquées pour déduire la distance et potentiellement la localisation des correspondants. Ces attaques nécessitent que tous les membres d’un groupe WhatsApp ou les deux côtés d’une conversation soient sur le même réseau et dans le même pays ou « juridiction de traité », une possible référence à l’alliance de renseignement Five Eyes.
Dans le cas de Gaza, bien que l’accès à Internet soit géré par des télécommunications palestiniennes, les données passent finalement par des câbles à fibre optique israéliens, soumis à la surveillance de l’État israélien. L’évaluation suggère que les utilisateurs dans des « démocraties bien fonctionnelles avec un processus judiciaire et des lois de protection de la vie privée solides » peuvent être moins vulnérables, mais souligne également l’utilisation de ces techniques par la NSA sur le sol américain.
Réponses de Meta et controverses internes
Meta est confronté à un dilemme : protéger les utilisateurs vulnérables ou préserver la performance et l’attrait massif de l’application. L’évaluation de WhatsApp met en évidence que renforcer la sécurité implique des compromis, comme ralentir l’application pour les 2 milliards d’utilisateurs ou augmenter la consommation de batterie et les coûts de données mobiles. La suggestion de mettre en place un mode de sécurité renforcée pour les utilisateurs à risque, similaire au “Lockdown Mode” d’Apple, pourrait également poser problème en rendant ces utilisateurs encore plus visibles et donc plus ciblés.
En interne, les efforts pour pousser Meta à divulguer ce qu’il sait sur cette vulnérabilité et son utilisation potentielle par Israël ont échoué, reflétant un schéma plus large de censure interne contre les expressions de sympathie ou de solidarité avec les Palestiniens depuis le début de la guerre.
Ce que DPO PARTAGE en pense
Les découvertes sur la vulnérabilité de WhatsApp soulèvent des questions cruciales sur l’équilibre entre la sécurité des utilisateurs et la performance de l’application. Meta devra décider s’il choisit de protéger un segment vulnérable de ses utilisateurs ou de maintenir l’attrait universel de son application. Les enjeux sont élevés, et la surveillance gouvernementale via l’analyse du trafic réseau reste une menace pressante pour la confidentialité des communications numériques.