« La confidentialité et la sécurité font partie de notre ADN », s’enorgueillit WhatsApp sur son site. Il est vrai que l’application de messagerie instantanée a entrepris au printemps de chiffrer de bout en bout les communications établies au travers de son service. « Cela garantit que seuls vous et la personne avec qui vous communiquez peuvent lire ce qui est envoyé », affirme encore la société qui appartient à Facebook. Faux, rétorque le chercheur en sécurité Jonathan Zdziarski sur son blog. Il a décortiqué le fonctionnement de l’application et a débusqué deux gros problèmes.
Les discussions sont stockées en local et en ligne
Premièrement, les données supprimées et signalées comme telles par l’appli sont en fait conservées. Il a constaté que le logiciel stocke les traces des logs des discussions à cause d’un dysfonctionnement de la bibliothèque SQLite qui permet de faire fonctionner la base de données des contacts. « En fait, le seul moyen de se débarrasser de vos chats est de supprimer totalement l’application », écrit, lapidaire, Zdiarski.
Le chercheur rappelle à cette occasion que c’est aussi le cas de la messagerie d’Apple iMessage qui « laisse beaucoup de traces récupérables légalement ». Ce n’est pas le cas de Signal, à l’inverse, qui est une messagerie instantanée centrée sur le respect de la vie privée et de la sécurité des données échangées.
En fait, toutes les applications qui utilisent SQLite rencontrent cet obstacle parce que SQLite ne nettoie pas les bases de données par défaut sous iOS.
Les données ne sont chiffrées qu’en transit
Deuxièmement, le chiffrement ne protège les informations que lorsqu’elles sont en transit. Mais elles finissent toujours par atterrir localement sur les téléphones des utilisateurs où elles ne sont pas protégées. Ce qui veut dire que n’importe qui ayant accès physiquement au terminal peut les récupérer. Elles sont, par ailleurs, stockées en ligne, sans chiffrement dans iCloud. Ce qui permet à un tierce, comme la police, de les trouver à distance en passant par des systèmes de sauvegarde.
Ces révélations ne tombent pas au meilleur moment pour WhatsApp qui a été bloqué à plusieurs reprises par la justice brésilienne pour avoir refusé de coopérer dans des affaires en cours. Son image de défenseur de la vie privée et de la liberté d’expression se voit ainsi sérieusement égratignée. Rappelons que d’autres chercheurs avaient déjà montré au mois de mai dernier qu’il était possible d’usurper l’identité d’utilisateurs WhatsApp en interceptant un appel ou un SMS.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.