WhatsApp a fini par activer le chiffrement de bout-en-bout pour l’ensemble de ses utilisateurs. Un mouvement applaudi et qui survient en une période où le chiffrement est menacé, notamment aux États-Unis.
Il s’agissait d’une extension prévisible, et c’est désormais chose faite : tous les utilisateurs de WhatsApp s’échangent des données, textes et appels, avec un chiffrement de bout-en-bout. Pour ceux qui ne connaîtraient pas la différence avec le chiffrement classique, rappelons qu’avec cette méthode, les contenus sont chiffrés localement avant même d’être envoyés sur le réseau. Le serveur ne devient alors qu’un simple relai.
L'ensemble des messages et appels chiffrées par le protocole Signal
Depuis novembre 2014, WhatsApp utilisait déjà le chiffrement de bout-en-bout pour son client Android. Pour réaliser cette bascule, l’éditeur (racheté pour un total de 19 milliards de dollars par Facebook) utilise le protocole Signal, utilisé par le logiciel de conversation du même nom. Signal, qui résultait de la fusion des projets TextSecure et RedPhone, est notamment utilisé par Edward Snowden pour une partie de ses communications.
Il n'y a sans doute aucun hasard dans l’utilisation par WhatsApp d’une solution mise en avant par un lanceur d’alertes. On a ainsi appris il y a quelques semaines que le FBI cherchait aussi à percer les défenses de WhatsApp, justement à cause du chiffrement de bout-en-bout qui, lui, ne dépend pas d’une version spécifique d’Android. Par ailleurs, chiffrer les communications avec Signal est presque comme un pied-de-nez au gouvernement américain : son éditeur, Open Whisper Systems a reçu depuis 2013 un total de 2,25 millions de dollars par l’Open Technology Fund, financé en très grande partie par le gouvernement américain, notamment à travers le département d’État.
Une bascule automatique pour toutes les applications
Du côté de l’utilisateur, il n’y a rien à faire. La bascule est automatique pour l’ensemble des applications, dont celles pour iOS et Windows Phone. Le chiffrement de bout-en-bout fonctionne aussi bien pour les conversations en 1+1 que pour celles en groupes. Pour vérifier qu’une telle conversation est bien chiffrée, rendez-vous dans ses paramètres. Un champ « Chiffrement » apparaît entre deux lignes horizontales, accompagné d’un cadenas. Ce dernier est fermé et bleu si le chiffrement est activé, ouvert et noir si ce n’est pas le cas.
Précisons également qu’en plus du chiffrement de bout-en-bout, WhatsApp utilise la confidentialité persistante. Le protocole d’échanges de clés Diffie-Hellman, plusieurs fois abordé dans nos colonnes, permet par exemple ce type de mécanique, qui soit garantir la protection des communications même en cas de vol d’une clé privée par un pirate. Dans le cas présent, WhatsApp utilise Curve25519.
Plus d'un milliard d'utilisateurs pour en profiter
Dans un billet de blog, le co-fondateur de WhatsApp, Jan Koum, a indiqué : « Nous vivons dans un monde où nos informations sont plus numérisées que jamais. Nous voyons tous les jours des histoires au sujet d’accès non autorisés ou de vols de données importantes. Et si rien n’est fait, un nombre croissant des informations numériques et des communications des gens seront vulnérables aux attaques dans les années qui viennent. Heureusement, le chiffrement de bout-en-bout nous protège de ces vulnérabilités ».
Le mouvement fait évidemment de WhatsApp la première solution de chiffrement de bout-en-bout au monde, eut égard à son nombre d’utilisateurs actifs : plus d’un milliard. Aucune surprise donc à ce que la société ait été félicitée par l’ACLU (American Civil Liberties Union), notamment par l’un de ses représentants, Christopher Soghoian, qui n’a pas manqué de souligner l’ironie de la situation.
Our elected officials in Congress who authorized the millions in funding that paid for WhatsApp's crypto did us all a favor. Thank you.
— Christopher Soghoian (@csoghoian) 5 avril 2016
Enfin, et c’est une précision importante, la version web de WhatsApp est également compatible avec ce chiffrement. D’ailleurs toute ouverture de conversation indiquera dans un message : « Les messages que vous envoyez dans cette discussion et les appels sont désormais protégés avec le chiffrement de bout en bout ».
