Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

WhatsApp : le chiffrement de bout-en-bout actif pour tous sur les messages et appels

Questions précisions importantes tout de même
Mobilité 3 min
WhatsApp : le chiffrement de bout-en-bout actif pour tous sur les messages et appels

WhatsApp a fini par activer le chiffrement de bout-en-bout pour l’ensemble de ses utilisateurs. Un mouvement applaudi et qui survient en une période où le chiffrement est menacé, notamment aux États-Unis.

Il s’agissait d’une extension prévisible, et c’est désormais chose faite : tous les utilisateurs de WhatsApp s’échangent des données, textes et appels, avec un chiffrement de bout-en-bout. Pour ceux qui ne connaîtraient pas la différence avec le chiffrement classique, rappelons qu’avec cette méthode, les contenus sont chiffrés localement avant même d’être envoyés sur le réseau. Le serveur ne devient alors qu’un simple relai.

L'ensemble des messages et appels chiffrées par le protocole Signal

Depuis novembre 2014, WhatsApp utilisait déjà le chiffrement de bout-en-bout pour son client Android. Pour réaliser cette bascule, l’éditeur (racheté pour un total de 19 milliards de dollars par Facebook) utilise le protocole Signal, utilisé par le logiciel de conversation du même nom. Signal, qui résultait de la fusion des projets TextSecure et RedPhone, est notamment utilisé par Edward Snowden pour une partie de ses communications.

Il n'y a sans doute aucun hasard dans l’utilisation par WhatsApp d’une solution mise en avant par un lanceur d’alertes. On a ainsi appris il y a quelques semaines que le FBI cherchait aussi à percer les défenses de WhatsApp, justement à cause du chiffrement de bout-en-bout qui, lui, ne dépend pas d’une version spécifique d’Android. Par ailleurs, chiffrer les communications avec Signal est presque comme un pied-de-nez au gouvernement américain : son éditeur, Open Whisper Systems a reçu depuis 2013 un total de 2,25 millions de dollars par l’Open Technology Fund, financé en très grande partie par le gouvernement américain, notamment à travers le département d’État.

Une bascule automatique pour toutes les applications

Du côté de l’utilisateur, il n’y a rien à faire. La bascule est automatique pour l’ensemble des applications, dont celles pour iOS et Windows Phone. Le chiffrement de bout-en-bout fonctionne aussi bien pour les conversations en 1+1 que pour celles en groupes. Pour vérifier qu’une telle conversation est bien chiffrée, rendez-vous dans ses paramètres. Un champ « Chiffrement » apparaît entre deux lignes horizontales, accompagné d’un cadenas. Ce dernier est fermé et bleu si le chiffrement est activé, ouvert et noir si ce n’est pas le cas.

Précisons également qu’en plus du chiffrement de bout-en-bout, WhatsApp utilise la confidentialité persistante. Le protocole d’échanges de clés Diffie-Hellman, plusieurs fois abordé dans nos colonnes, permet par exemple ce type de mécanique, qui soit garantir la protection des communications même en cas de vol d’une clé privée par un pirate. Dans le cas présent, WhatsApp utilise Curve25519.

Plus d'un milliard d'utilisateurs pour en profiter

Dans un billet de blog, le co-fondateur de WhatsApp, Jan Koum, a indiqué : « Nous vivons dans un monde où nos informations sont plus numérisées que jamais. Nous voyons tous les jours des histoires au sujet d’accès non autorisés ou de vols de données importantes. Et si rien n’est fait, un nombre croissant des informations numériques et des communications des gens seront vulnérables aux attaques dans les années qui viennent. Heureusement, le chiffrement de bout-en-bout nous protège de ces vulnérabilités ».

Le mouvement fait évidemment de WhatsApp la première solution de chiffrement de bout-en-bout au monde, eut égard à son nombre d’utilisateurs actifs : plus d’un milliard. Aucune surprise donc à ce que la société ait été félicitée par l’ACLU (American Civil Liberties Union), notamment par l’un de ses représentants, Christopher Soghoian, qui n’a pas manqué de souligner l’ironie de la situation.

Enfin, et c’est une précision importante, la version web de WhatsApp est également compatible avec ce chiffrement. D’ailleurs toute ouverture de conversation indiquera dans un message : « Les messages que vous envoyez dans cette discussion et les appels sont désormais protégés avec le chiffrement de bout en bout ».

42 commentaires
Avatar de eres Abonné
Avatar de ereseres- 06/04/16 à 08:23:46

Signaler ce commentaire aux modérateurs :

petite question : les "metadata" permettant le routage et les statuts, elles, elles restent en clair non?
Ce doit être aussi le cas pour les documents transférés puisqu'ils sont stockés chez WA avant envoi vers le destinataire (à moins que ce ne soit vu comme une "enveloppe" cryptée)

Avatar de vizir67 Abonné
Avatar de vizir67vizir67- 06/04/16 à 08:31:28

Signaler ce commentaire aux modérateurs :

c'est UNE BONNE chose, ça (enfin) !!!  

Avatar de edhelas INpactien
Avatar de edhelasedhelas- 06/04/16 à 08:31:29

Signaler ce commentaire aux modérateurs :

D'après ce que je sais de leur implémentation ça ne concerne que le contenu du message, donc les fameuses "metadata" ne sont pas concernées :)
 
En clair, WhatsApp ne connaît pas le contenu de l'enveloppe mais connaît son émetteur, son destinataire, quand elle a été envoyé, reçue, lue et possiblement d'autres infos (géolocalisation…). Ils ont également l'intégralité de ta liste de contact (vu qu'ils aspirent ton répertoire téléphonique pour le recouper).
 
Analyser le contenu des millions de messages qui transitent par leurs serveurs c'est un boulot énorme, au contraires des métadonnées car formatées et structurées. Le contenu des messages n'a, selon moi, que peu de valeur à leurs yeux. Donc cette information n'est qu'un simili écran de fumée pour leurs racheter une virginité vis à vis de la protection de la "vie-privée" de leurs utilisateurs.

Dernière précision, c'est exactement la même chose chez Telegram et consorts ;)

Édité par edhelas le 06/04/2016 à 08:33
Avatar de taralafifi INpactien
Avatar de taralafifitaralafifi- 06/04/16 à 08:44:09

Signaler ce commentaire aux modérateurs :

Pour les groupes de discussion, on a droit au chiffrement ?

Avatar de Vincent_H Équipe
Avatar de Vincent_HVincent_H- 06/04/16 à 08:46:47

Signaler ce commentaire aux modérateurs :

edhelas a écrit :

Dernière précision, c'est exactement la même chose chez Telegram et consorts ;)

Telegram ne le fait que sur les Secret Chats, pas sur les conversations classiques

Avatar de edhelas INpactien
Avatar de edhelasedhelas- 06/04/16 à 08:54:15

Signaler ce commentaire aux modérateurs :

Oui pardon. Je parlais du cas des métadonnées et de leurs traitements uniquement

Avatar de Lady Komandeman INpactien
Avatar de Lady KomandemanLady Komandeman- 06/04/16 à 08:54:51

Signaler ce commentaire aux modérateurs :

"Attention cependant, car ce chiffrement de bout-en-bout ne fonctionne que pour les conversations en 1+1."
Donc non.

Avatar de R0b0tnik Abonné
Avatar de R0b0tnikR0b0tnik- 06/04/16 à 08:59:40

Signaler ce commentaire aux modérateurs :

Un peu HS mais concernant Signal qqun à des infos sur le serveur qui gère la voix?
Parce que autant on peut avoir le code source du client Singal et du serveur pour la partie message texte (ex TextSecure) autant pour le serveur qui gère la voix c'est un grand mystère.
Je trouve ça un peu bizarre pour qqch qui se veut ouvert, sécurisé et protéger la vie privé des gens.

Avatar de Vincent_H Équipe
Avatar de Vincent_HVincent_H- 06/04/16 à 09:02:02

Signaler ce commentaire aux modérateurs :

En fait il faut que je regarde de plus près. D'après la doc, la réponse est oui. Mais aucune des miennes ne l'a, même après plusieurs échanges de messages, du coup j'ai un peu de mal à comprendre.
 

Avatar de taralafifi INpactien
Avatar de taralafifitaralafifi- 06/04/16 à 09:04:00

Signaler ce commentaire aux modérateurs :

Bon, après mes tests, je confirme que oui. Le chiffrement est bien actif si l’ensemble des participants au groupe de discussion ont bien la dernière version de l'application.

Édité par taralafifi le 06/04/2016 à 09:04
Il n'est plus possible de commenter cette actualité.
Page 1 / 5