Passer au contenu

WhatsApp conserverait vos discussions privées même après suppression

Les données de tous les utilisateurs sous iOS sont sauvegardées localement et dans iCloud, même lorsqu’elles ont été effacées. Le tout sans être chiffrées, révèle un chercheur en sécurité.

« La confidentialité et la sécurité font partie de notre ADN », s’enorgueillit WhatsApp sur son site. Il est vrai que l’application de messagerie instantanée a entrepris au printemps de chiffrer de bout en bout les communications établies au travers de son service. « Cela garantit que seuls vous et la personne avec qui vous communiquez peuvent lire ce qui est envoyé », affirme encore la société qui appartient à Facebook. Faux, rétorque le chercheur en sécurité Jonathan Zdziarski sur son blog. Il a décortiqué le fonctionnement de l’application et a débusqué deux gros problèmes.

Les discussions sont stockées en local et en ligne

Premièrement, les données supprimées et signalées comme telles par l’appli sont en fait conservées. Il a constaté que le logiciel stocke les traces des logs des discussions à cause d’un dysfonctionnement de la bibliothèque SQLite qui permet de faire fonctionner la base de données des contacts. « En fait, le seul moyen de se débarrasser de vos chats est de supprimer totalement l’application », écrit, lapidaire, Zdiarski.
Le chercheur rappelle à cette occasion que c’est aussi le cas de la messagerie d’Apple iMessage qui « laisse beaucoup de traces récupérables légalement ». Ce n’est pas le cas de Signal, à l’inverse, qui est une messagerie instantanée centrée sur le respect de la vie privée et de la sécurité des données échangées.
En fait, toutes les applications qui utilisent SQLite rencontrent cet obstacle parce que SQLite ne nettoie pas les bases de données par défaut sous iOS.

Les données ne sont chiffrées qu’en transit

Deuxièmement, le chiffrement ne protège les informations que lorsqu’elles sont en transit. Mais elles finissent toujours par atterrir localement sur les téléphones des utilisateurs où elles ne sont pas protégées. Ce qui veut dire que n’importe qui ayant accès physiquement au terminal peut les récupérer. Elles sont, par ailleurs, stockées en ligne, sans chiffrement dans iCloud. Ce qui permet à un tierce, comme la police, de les trouver à distance en passant par des systèmes de sauvegarde.

Ces révélations ne tombent pas au meilleur moment pour WhatsApp qui a été bloqué à plusieurs reprises par la justice brésilienne pour avoir refusé de coopérer dans des affaires en cours. Son image de défenseur de la vie privée et de la liberté d’expression se voit ainsi sérieusement égratignée.  Rappelons que d’autres chercheurs avaient déjà montré au mois de mai dernier qu’il était possible d’usurper l’identité d’utilisateurs WhatsApp en interceptant un appel ou un SMS.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Amélie Charnay