Le chiffrement de bout en bout est la technologie qui assure la confidentialité des messages envoyés sur WhatsApp, iMessage et autres plateformes sécurisées. Ainsi, les conversations entre les utilisateurs et leurs contacts, qu'elles aient lieu par SMS ou par appels vocaux, demeurent privées et inaccessibles, même pour l'entreprise de service Internet et les fournisseurs d’accès à Internet eux-mêmes. Mais cette technologie est aussi en train de devenir un champ de bataille majeur pour décider de l'avenir d'Internet.D'un côté, il y a les autorités gouvernementales, comme aux États-Unis et au Royaume-Uni, qui la combattent, en dépit des conséquences considérables sur la vie privée et la sécurité des d’utilisateurs, sous prétexte qu’elle protège les criminels. De l'autre, il y a certaines des plus grandes entreprises technologiques au monde qui veulent élargir le champ d’application du chiffrement de bout en bout sur leurs différentes plateformes. Des milliards de personnes inscrites sur l'outil de messagerie WhatsApp, utilisent par défaut cette technologie pour toutes les formes de communication disponibles sur la plateforme.
Mais plusieurs messages publiés récemment sur le site Web de blogging de Forbes, par un contributeur du nom de Kalev Leetaru et qui ont suscité beaucoup d'attention sur Internet, ont fait croire que le débat sur le chiffrement de bout en bout tendait vers sa fin et en faveur des gouvernements qui veulent surveiller les communications des utilisateurs. En effet, un article publié par Leetaru la semaine dernière alléguait que Facebook, la société mère de WhatsApp, prévoyait de détecter les abus en implémentant une fonction permettant de scanner les messages en clair directement sur les téléphones des utilisateurs avant qu'ils ne soient chiffrés et envoyés. D’autres blogs ont repris l’information, dont celui de Bruce Schneier qui a remanié l’article sous le titre de « Facebook planifie une porte dérobée dans WhatsApp ».
Cependant, le géant des réseaux sociaux ne se reconnait pas dans ces affirmations. L’entreprise réfute sans ambages les allégations de Forbes, selon Medium. Dans une déclaration écrite envoyée à OneZero de Medium, Will Cathcart, vice-président de la gestion des produits de WhatsApp, a écrit :
« Nous n'avons pas ajouté de porte dérobée à WhatsApp ». « Pour être parfaitement clair, nous ne l'avons pas fait, nous n'avons aucun plan pour le faire, et si nous l'avions fait, il serait évident et détectable que nous l'ayons fait. Nous comprenons les graves préoccupations que soulèverait ce genre d'approche et c'est pourquoi nous nous y opposons ».
Lors d’un appel téléphonique, un porte-parole de Facebook a déclaré à OneZero que WhatsApp est l'une des applications les plus scrutées au monde. Tout type de porte dérobée serait immédiatement évident pour la communauté de la sécurité. Il y a beaucoup d'experts en sécurité qui regardent régulièrement WhatsApp, a-t-il ajouté.
En effet, selon Medium, bien que WhatsApp ne soit pas open source, les chercheurs en sécurité peuvent télécharger l'application Android (APK) et utiliser des outils tiers pour récupérer le code Java lisible, ou extraire le code binaire pour les versions iPhone puis utiliser des débogueurs (comme IDA Pro) pour essayer de comprendre comment cela fonctionne. Steve Weis, cryptographe, membre de l'Aspen Tech Policy Hub et ancien ingénieur logiciel chez Facebook, a conforté cette idée en déclarant que « Je suis sûr que les gens sont constamment en train de faire sa rétro-ingénierie ». « En général, on peut supposer que les gens fouillent dans les binaires », a-t-il ajouté.
Comment la rumeur d’introduction d’une porte dérobée dans WhatsApp a-t-elle commencé ?
Alors que le géant des médias sociaux a décidé en janvier dernier d’unifier ses différentes plateformes de messagerie, avec pour but de, non seulement, permettre l’envoi de messages entre plateformes, mais aussi, de rendre les communications désormais chiffrées sur l’entité unique, Forbes a publié il y a plus d’une semaine que Facebook avait l’intention de construire des couches de sécurité qui présentent ces portes dérobées.
Selon les allégations portées contre le réseau social par Leetaru, l’entreprise prévoit d'intégrer des algorithmes de modération de contenu et de filtrage des listes noires directement sur les appareils mobiles des utilisateurs, en analysant les messages Messenger et WhatsApp avant et après leur chiffrement. L'article de Leetaru a exposé des scénarios futurs potentiels où la grande majorité des téléphones inclurait ce type de balayage qui rendraient le chiffrement inutile, selon Medium. Dans son article, Leetaru a écrit :
« Le modèle de Facebook contourne complètement le débat sur le chiffrement en mondialisant la pratique actuelle qui consiste à compromettre les dispositifs en intégrant ces moyens de contournement de chiffrement directement dans les clients de communication eux-mêmes et en déployant ce qui équivaut à des écoutes téléphoniques automatiques pour des milliards d'utilisateurs à la fois ». Il a ajouté ensuite que cela « créerait un cadre permettant aux gouvernements d'externaliser leur surveillance massive directement aux entreprises de médias sociaux ».
La plateforme de Forbes et d’autres blogs ont expliqué en détail le futur potentiel mécanisme de modération de contenu sur les plateformes sociales de Facebook. Cependant, d’après Medium, Forbes n'examine généralement pas les articles de blogue publiés par ses collaborateurs, qui ne sont pas des rédacteurs de la publication.
Selon OneZero de Medium, bien que Leetaru ait déclaré dans son article qu'un porte-parole de Facebook avait refusé de commenter son article, Facebook a dit ensuite à OneZero que ce n'était pas le cas et qu'il a donné à Leetaru des informations « de base ». Lors d’un appel téléphonique avec l’auteur des allégations, il a déclaré à Medium que Facebook « ne contestait pas la description et a pointé du doigt l'article du blog de mars de M. Zuckerberg[PDG de Facebook] qui demandait précisément un tel filtrage ». L'article en question intitulé « Une vision axée sur la protection de la vie privée pour le réseautage social » énumère un plan pour rendre Facebook plus privé en se concentrant sur la communication chiffrée et éphémère.
Les accusations d’une future porte dérobée dans WhatsApp réfutée
Selon Medium, l’article de Zuckerberg indiquait que Facebook peut détecter « des modèles d'activité ou par d'autres moyens, même lorsque nous ne pouvons pas voir le contenu des messages » à travers les applications. Mais il ne fait pas spécifiquement référence au filtrage du côté du client des messages WhatsApp ou d’une autre messagerie privée du groupe. Autrement, l’article de Zuckerberg ne suggérait pas qu'un système est en cours de développement pour lire les messages en clair des utilisateurs.
Selon Medium, une vidéo liée à l’article de Leetaru expose des explications techniques sur l'utilisation de l'intelligence artificielle sur le site des développeurs de Facebook pour empêcher l'accès au contenu qui enfreint les politiques de Facebook, comme les propos haineux, la nudité et la pornographie. Mais selon un porte-parole de Facebook, il n'y a aucun lien entre ce type de modération et le chiffrement de la messagerie privée.
Le cryptographe Weis a déclaré que « L'article est complètement faux » en parlant du poste de Leetaru sur Forbes. Selon lui, la vidéo dont il est question portait sur le filtrage du contenu avant qu'il ne soit affiché sur Facebook. La modération automatisée par l’IA permet, par exemple, de détecter qu'une image est pornographique et empêche simplement un utilisateur de la télécharger dans le fil d'actualité. « Il ne parlait jamais de WhatsApp », a ajouté Weis.
Medium a rapporté qu’une telle modération se produit déjà sur les serveurs de Facebook une fois le contenu téléchargé, mais ne représente pas une porte dérobée dans les conversations sur la messagerie WhatsApp. Par ailleurs, pour Weis, pour ceux qui sont préoccupés par les données stockées sur les serveurs de Facebook, modérer le contenu en amont sur les téléphones des utilisateurs est en fait un gain de confidentialité.
« Aujourd'hui, si vous postez une photo qui est envoyée sur Facebook, puis qu'ils lancent leur filtrage de contenu, et qu'elle est rejetée, elle est retirée, mais ils l'ont toujours. Dans ce cas, votre contenu sera filtré localement, avant même qu'il ne soit envoyé. Cela réduit donc la quantité d'informations qui seront envoyées à Facebook en premier lieu », a dit Weis.
Peut-être qu’il n y a pas de preuve que Facebook se prépare à envoyer des messages d’abus non chiffré à un serveur central au profit du gouvernement américain. Ou même que le réseau social n’a même pas encore pensé à ce mécanisme de modération dans WhatsApp. Mais les scénarios de Leetaru sont des mécanismes réels dont l’exploitation rendrait inutile le chiffrement de bout en bout, en rendant vulnérables les milliards d’utilisateurs des plateformes de messagerie de Facebook.
Source : Medium
Et vous ?
Qu’en pensez-vous ? Une porte dérobée introduite du côté client de la plateforme de messagerie WhatsApp sera facilement détectable. Qu’en pensez-vous ?Lire aussi
Marc Zuckerberg envisage d'unifier les infrastructures de messagerie des applications WhatsApp, Instagram, et Facebook messenger Angleterre : une proposition de loi prévoit d'interdire aux entreprises internet d'offrir le chiffrement de bout en bout, à leurs utilisateurs L'Australie adopte son projet de loi anti-chiffrement sans amendements, malgré les protestations de l'industrie technologique Google confirme que la porte dérobée avancée a été préinstallée sur les appareils Android, avant qu'ils ne quittent les usines des fabricants Une porte dérobée découverte dans la bibliothèque Ruby strong_password, utilisée par les applications web RoR pour tester la force des mots de passe