Pourquoi j’ai conseillé à mes amis de supprimer WhatsApp et Telegram
Read original blog post in English.
Traduit par Claire Mizrahi.
Ce matin, j’ai conseillé à mes amis de supprimer WhatsApp et Telegram. Je leur ai envoyé une invitation pour télécharger l’application de messagerie Signal.
Je vous explique.
Protocoles de chiffrement: le Protocole Signal vs. le MTProto de Telegram
Vous l’ignorez peut-être, mais il est probable que vous utilisiez déjà le Protocole Signal — comme environ 1 milliard d’autres personnes dans le monde.
Le Protocole Signal est en effet utilisé par WhatsApp, Facebook Messenger, Google Allo et l’application de messagerie Signal elle-même.
Le Protocole Signal, qu’est-ce que c’est ?
Le Protocole Signal est un protocole cryptographique non-fédéré qui assure un chiffrement de bout en bout des messageries instantanées — Wikipedia
Le chiffrement de bout-en-bout (ou E2EE en anglais, pour end-to-end encryption) est un système de protection des échanges : il garantit le secret du message envoyé par l’émetteur, qui ne peut ensuite qu’être décodé par son destinataire final.
C’est le système mis en place par WhatsApp il y a quelques mois, lorsque vous avez vu ce message s’afficher dans vos conversations :
Le Protocole Signal est un produit d’Open Whisper System, une organisation à but non lucratif créée en 2013 par l’ancien chef de la sécurité de Twitter, Moxie Marlinspike. En 2011, la célèbre plateforme de messagerie à 140 signes avait déjà racheté la première société de Marlinspike, appelée Whisper System.
L’activité d’Open Whisper System est dédiée au développement du Protocole Signal et de son application de messagerie. Le financement de ses travaux est entièrement basé sur un mélange de dons et de subventions.
En octobre 2016, le Protocole Signal a été passé en revue par une équipe internationale de chercheurs en sécurité : le test est alors passé haut la main.1
A la lecture de ces premiers paragraphes, vous pensez sûrement : où est le problème, puisque WhatsApp, Facebook Messenger et Google Allo utilisent le Protocole Signal ?
Eh bien en réalité, le problème est toujours là.
Facebook Messenger, Telegram et Google Allo n’activent pas le chiffrement E2E par défaut. Le mode « Secret Conversations » doit être activé au préalable par les utilisateurs de Facebook Messenger et Telegram, et le « Incognito Mode » par ceux de Google Allo.
De plus, Telegram, l’application de messagerie aux 100 millions d’utilisateurs créée par le fondateur du réseau social VK, Pavel Durov, fonctionne avec son propre protocole de chiffrement: MTProto. Or ce protocole a généré de nombreuses controverses. En 2015, un chercheur en sécurité informatique a publié une étude énumérant les faiblesses — théoriques — du protocole MTProto, et en a conclu que Telegram n’aurait pas dû développer son propre protocole de chiffrement.
Il nous reste donc WhatsApp et Signal — les deux seules applications à utiliser le Protocole Signal par défaut pour tous les messages envoyés.
Pourquoi vouloir supprimer WhatsApp dans ce cas ?
Pour une raison très simple, qui est la quantité astronomique de données que WhatsApp amasse sur ses utilisateurs. C’est ce que l’on appelle les métadonnées.
Collecte de données et métadonnées
La collecte de données, ou autrement dit les métadonnées, revient fréquemment dans le débat, soutenue par les services de messagerie par des déclarations de ce genre :
Nous ne pouvons pas écouter ou lire le contenu de vos communications car nous utilisons un protocole de chiffrement E2E. Nous collectons seulement des métadonnées.
« Seulement ».
Les métadonnées demeurent pour beaucoup d’entre nous un concept flou. Voici une façon simple de mieux comprendre leur importance :
Si vous n’êtes toujours pas certain d’avoir bien compris, lisez le post très clair de Kurt Opsahl, avocat à la Electronic Frontier Foundation. Il donne notamment quelques illustrations précises du type d’informations que les sociétés ou les gouvernements obtiennent lorsqu’ils collectent des métadonnées2:
Ils savent que vous avez appelé un service téléphonique à caractère sexuel à 02:24 du matin et que la communication a duré 18 minutes. Mais ils ne savent pas de quoi vous avez parlé.
Ils savent que vous avez appelé un numéro d’assistance et de prévention du suicide depuis tel pont. Mais ils ne savent pas de quoi vous avez parlé.
Ils savent que vous avez appelé un laboratoire de dépistage du VIH, puis votre médecin, puis votre assurance santé dans la même heure. Mais ils ne savent pas de quoi vous avez parlé.
Vous savez maintenant ce que sont les métadonnées.
Et vous comprenez pourquoi le chiffrement E2E n’empêche absolument pas les services de messageries de continuer à collecter des métadonnées.
Jetons un œil à ce que nos applications peuvent bien engranger comme informations lorsque nous les utilisons :
La FAQ (Frequenlty Asked Questions) de WhatsApp vous informe3 que l’application a accès à tout votre répertoire de contacts et qu’elle recueille4 une myriade d’informations sur vous et vos habitude de communications.
Par contre, et c’est là un point intéressant, WhatsApp ne stocke pas vos messages sur ses propres serveurs. Vos messages sont stockés directement sur votre téléphone et éventuellement sur les serveurs que vous utilisez en backup. Si vous possédez un iPhone par exemple et que vous utilisez iCould comme plateforme de sauvegarde, tous vos messages WhatsApp y seront donc stockés.
En ce qui concerne les informations que WhatsApp collecte sur vos habitudes de communication (où, quand, comment, avec qui…), leurs explications restent assez vagues. Voilà ce que WhatsApp indique :
Utilisation et Informations relatives aux fichiers journaux (logs).
Nous collectons des informations sur l’utilisation des services, les diagnostics et les performances qui y sont liés. Cela inclut des informations sur votre activité (comme la manière dont vous utilisez nos Services, la façon dont vous interagissez avec les autres utilisateurs via nos Services, etc.), sur les fichiers journaux, sur les rapports d’activité et de diagnostic, d’incident, de site web et de performance.
Ca ne s’arrête pas là, puisque WhatsApp recueille également des données spécifiques à votre propre téléphone lorsque vous installez et utilisez leur application : le modèle du téléphone, son système d’exploitation, votre navigateur de recherche, votre IP, votre réseau téléphonique ainsi que des données liées à votre numéro de téléphone…
Et même si WhatsApp ne parvenait pas à obtenir ces données via votre téléphone, l’application peut toujours les recueillir directement grâce aux contacts qui vous écrivent, car WhatsApp a évidemment aussi accès à leurs données d’utilisation.
Enfin, en plus des sauvegardes non chiffrées qui demeurent un réel sujet de préoccupation, d’autres points d’alerte ont été soulevés par la Electronic Frontier Foundation à propos des notifications de changement de clef, mais aussi de l’application Web de WhatsApp, sans oublier le risque de partage de données avec Facebook, qui a racheté WhatsApp en 2014.
Et puisque l’on parle de Facebook…
Facebook Messenger
Il suffirait presque de relayer ce que le MIT Technology Review a écrit à ce propos:
“Facebook est en train d’amasser une somme de données encore jamais atteinte jusqu’à présent sur le comportement social humain.”5
Je n’ai même pas besoin d’énumérer ce que Facebook engrange sur vous : Facebook est votre ami, et en tant qu’ami, il vous explique très directement à quel point vous êtes intimes :
Google Allo
Google Allo has been widely criticized by security experts.
Google Allo a été ouvertement critiqué6 par l’ensemble des experts en sécurité.
Non seulement Google peut lire chacun de vos messages, mais ils stockent aussi toutes vos conversations.
C’est aussi simple que ça.
Voici la publicité ironique qu’a publiée Edward Snowden sur Allo:
Telegram
Le cas de Telegram est sensiblement différent, puisque son protocole de chiffrement présente déjà certaines lacunes d’un point de vue théorique, et qu’il n’utilise pas le chiffrement E2E par défaut.
Mais laissons cela de côté pour le moment et survolons les données qu’ils obtiennent sur vous :
Vos messages, photos, vidéos et documents sont chiffrés et stockés sur les serveurs de Telegram (à l’exception des messages Secret Chat). A l’image de WhatsApp et Facebook, Telegram a accès à vos contacts et les stocke sur ses propres serveurs. C’est de cette manière qu’ils sont en mesure de vous envoyer une notification lorsque l’un de vos contacts vient de se créer un compte sur Telegram.
Signal
Edit June 2022: I no longer use Signal. I deleted my account, mainly because it is a walled garden.
Les seules données que Signal retient7 sont :
- Le numéro de téléphone avec lequel vous vous êtes enregistré
- La date de votre dernière connexion à leurs serveurs
C’est tout.
Signal n’enregistre même pas l’heure, la minute ou la second à laquelle vous vous connectez — seulement le jour.
Et si vous rêvez de l’incognito total, vous êtes libre d’activer la suppression des messages une fois lus (Telegram propose également cette fonction).
De plus, Signal est gratuit. Vraiment gratuit. Cela signifie tout simplement que vous — vos données — n’êtes pas transformés en une source de revenus publicitaires comme le font Facebook ou Google.
Si vous souhaitez soutenir Signal, vous pouvez faire un don ici.
Le code source de Signal est libre d’accès et open source8.
En fin de compte, pourquoi devriez-vous vous soucier de votre vie privée?
Vous pourriez tout à fait être tenté de dire quelque chose comme:
“Je n’ai rien à cacher.”
Si c’est ce que vous pensez, partagez donc le mot de passes de votre boite mail avec vos amis.
Edit 24/01/2017: previously we stated that “[Telegram’s] encryption protocol [was] not secure”. Telegram brought some clarification by publishing a blog post commenting on the finding of J. Jakobsen.9
https://www.cyberscoop.com/signal-security-audit-encryption-facebook-messenger-whatsapp/↩︎
https://www.eff.org/deeplinks/2013/06/why-metadata-matters↩︎
https://www.whatsapp.com/legal/#privacy-policy-information-we-collect↩︎
https://www.technologyreview.com/s/428150/what-facebook-knows/↩︎
www.independent.co.uk/life-style/gadgets-and-tech/news/google-allo-should-be-deleted-and-never-used-says-edward-snowden-a7320861.html↩︎