WhatsApp active actuellement chez plus d’un milliard d’utilisateurs la vérification en deux étapes. Cette option était en test depuis plusieurs mois et est désormais prête à conquérir l’actuelle version stable.
La vérification en deux étapes – ou double authentification – est un mécanisme de sécurité de plus en plus courant sur les services en ligne. Le principe est de demander à l’utilisateur un second élément de sécurité pour ne pas se contenter d’un seul. Il s’agit souvent de fournir un code complémentaire au classique mot de passe. Le code est transmis la plupart du temps par l’éditeur par SMS ou via une application.
Dans le cas de WhatsApp, le mécanisme ne pouvait pas être adapté de cette manière. L’application ne réclame pas de mot de passe pour se connecter, il ne pouvait donc s’agir d’un code complémentaire. À la place, l’utilisateur va définir un code à six chiffres qui va servir à vérifier la prochaine vérification du smartphone, sur laquelle WhatsApp se base pour créer la clé privée qui sert au chiffrement des communications (via le protocole Signal).
Un code à six chiffres pour vérifier le numéro de téléphone
Pour mettre en place cette double vérification, il faut se rendre dans les Réglages de l’application mobile, puis dans Compte. Là, une ligne « Vérification en deux étapes » devrait apparaître, mais ce n’est pas certain : la fonctionnalité est en cours de déploiement et tous les utilisateurs ne l’ont donc pas encore.
L’activation de la fonction réclame donc la création d’un code à six chiffres. L’utilisateur est également invité à fournir une adresse email qui servira à la réinitialisation du code en cas de problème. Dès que le mécanisme est actif, aucune vérification du numéro de téléphone ne pourra plus s'effectuer sans réclamer le code.
On peut très facilement désactiver la fonction
Précisons cependant plusieurs points. D’une part, il est possible de désactiver cette fonctionnalité à n’importe quel moment, et ce sans avoir à retaper le code de sécurité. Un choix étrange qui permet de compromettre la sécurité du compte si le smartphone est utilisé par un utilisateur malveillant (qui l’aurait déverrouillé). D’autre part, la fonction concerne aussi bien les versions Android et iOS que Windows Phone. Cette dernière vient d’ailleurs d’être mise à jour pour rattraper le retard sur les deux autres.
Enfin, et si cette double vérification garde le même fonctionnement que durant la phase bêta, le code de sécurité sera automatiquement réclamé une fois tous les sept jours, même si aucun problème particulier n’a été détecté. Une mesure qui a tout de même le mérite d’exister.
Facebook a fait le tour de ses principaux services
L’arrivée de ce mécanisme sur WhatsApp permet à Facebook de boucler la boucle. Parmi les produits proposés en effet par l’éditeur, Instagram propose la double-authentification depuis février 2016. Le mois dernier, c’est Facebook lui-même qui ajoutait le support des clés de sécurité (U2F), permettant de protéger le compte utilisateur avec un composant matériel.
