Chiffrement des messages de bout en bout sur WhatsApp : pourquoi se méfier ?

Protection des donnéesRéseaux sociauxResponsables ITBackdoorCryptographieCybercriminalité
chiffrement

Chiffrement des messages de bout en bout sur WhatsApp : pourquoi se méfier ?

chiffrementQuand vous communiquez avec quelqu’un sur internet, de personne à personne, il est facile d’imaginer que les messages voyagent à la manière d’un bon vieux coup de téléphone.

Ces communications téléphoniques n’étaient pas chiffrées, et elles pouvaient être espionnées, cependant elles étaient vraiment des échanges de bout en bout.

Votre voix à la sortie de votre bouche partait le long d’un long circuit électrique tortueux, pour aboutir au niveau de l’oreille du destinataire.

Si ce destinataire n’était pas là, l’appel en question ne pouvait pas être sauvegardé pour plus tard, il n’aboutissait tout simplement pas.

Lorsque vous ajoutez ensuite du chiffrement à ce type d’appel à commutation de circuits, à la manière du chiffrement téléphonique analogique, la façon la plus simple de le faire reste également la technique de bout en bout.

Votre équipement téléphonique chiffre le signal de votre voix dès que qu’il s’échappe de votre bouche, et l’équipement à l’autre bout le déchiffre juste avant d’atteindre votre oreille.

Si le chiffrement est efficace, aucun espion ou curieux ne pourra vous écouter, ou bien comprendre quoi que ce soit d’un bout à l’autre de la communication, car le signal existe certes, mais sous la forme d’un bruit incompréhensible, et ce tout le long de la connexion.

Cependant les communications internet telles que les emails et les messageries instantanées ne fonctionnent plus du tout comme cela.

En effet, vous avez peut-être un pare-feu, soit au niveau de votre routeur ou bien au niveau de votre ordinateur, qui bloque délibérément les connexions internet entrantes, notamment pour réduire le risque que des pirates ne trouvent une porte d’entrée au sein de vos équipements personnels, tels que votre webcam ou un fichier sur votre serveur.

Il ne s’agit pas du tout d’un processus de bout en bout

Lorsque je vous envoie un email ou un message instantané, il ne s’agit pas du tout d’un processus de type bout en bout, et au sens strict il n’est peut-être pas envoyé vers vous.

Plus simplement, je me connecte à un serveur sur lequel j’uploade le message, et où il reste jusqu’à ce vous vous connectiez au serveur pour le télécharger.

Ces actions ont lieu quasiment instantanément, cependant mon ordinateur ne dispose pas d’une connexion au réseau ouverte qui transmets les paquets de données, directement de ma carte réseau vers la vôtre.

De plus, lorsque que je dis “un serveur”, cela signifie en réalité “un service constitué d’un vaste regroupement de fermes de serveurs globaux, dans une douzaine de pays, qui peuvent s’occuper de manière fiable et redondante de milliards de messages par jour, émanant de millions d’utilisateurs, mais auquel j’accède par un simple nom, facile à se rappeler comme si l’ensemble ne représentait qu’un seul et même serveur”.

Tout comme WhatsApp.

Dans un environnement comme celui-ci, un véritable chiffrement de bout en bout est plus compliqué que celui mis en œuvre pour des appels à commutation de circuits, ou bien des connexions navigateur-serveur-internet, car les messages peuvent avoir de multiples terminaisons pendant leur voyage au travers du réseau.

En réalité, le message pourra être déchiffré et de nouveau chiffré plusieurs fois, lors de sa réception, de son stockage, de sa mise en attente, de sa progression, pour enfin être téléchargé par le destinataire.

Est-ce que le chiffrement des messages est important ?

Est-ce que le chiffrement de bout en bout de nos messages internet est important ?

Oui bien évidemment !

Beaucoup de gens pensent le contraire, en considérant qu’ils n’ont rien à cacher.

En réalité ils veulent dire qu’ils ne font rien d’illégal.

Cependant, si quelqu’un venait à espionner leur trafic internet, ou à rentrer de force dans un serveur qui contient une copie temporaire déchiffrée d’un message en transit, ou à télécharger une base de données d’anciennes communications, ils ne seraient pas non plus hors la loi.

Ainsi, ils préfèrent prendre le risque que quelqu’un d’autre sache tout à leur sujet, dans l’espoir de faciliter l’arrestation des cybercriminels, qui sont quant à eux hors la loi mais qui semble s’en sortir plutôt facilement en général.

Le problème est que les gens qui aiment le plus espionner tous vos faits et gestes sont ces mêmes cybercriminels, et ils se moquent bien de savoir si vous êtes vous-mêmes hors la loi ou non.

Ils veulent savoir justement tout ce que vous faites lorsque vous n’êtes pas en train de faire des choses illégales. Ainsi ils pourront illégalement mettre la main sur une partie de votre vie, telle que votre salaire pour le dépenser.

Nous avons aujourd’hui tous des choses que nous voulons cacher, consciemment ou non. L’ironie dans nos sociétés actuelles hyper surveillées est que nous sommes forcés de cacher certaines choses afin de respecter la loi nous-mêmes. La sécurité des données clients est un bon exemple : nous avons besoin de faire ainsi non pas parce que le fait de ne pas le faire serait immoral, mais plus par obligation vis-à-vis des lois relatives à la protection de la vie privée et des données. Plus simplement, la seule façon de n’avoir rien à cacher, est justement de tout cacher.

C’est la raison pour laquelle nous sommes contents d’entendre que WhatsApp, dans la dernière version de son application propose le chiffrement de bout en bout, pour les appels, les photos, les vidéos et les messages vocaux.

WhatsApp a plutôt une réputation en dents de scie lorsqu’il s’agit de sécurité et de chiffrement, y compris le développement d’un algorithme cryptographique, qui s’appuie sur des clés de codage générées de manière aléatoire, et censées être à usage unique ….

…mais qui finalement pouvait être utilisées une deuxième fois.

En remontant presque 2 ans en arrière, nous nous demandions si l’acquisition de WhatsApp par Facebook mènerait à une meilleure sécurité, à la fois techniquement et culturellement, et il s’avère que la réponse semble être “OUI, OUI !”.

Qu’est-ce que WhatsApp a fait ?

Nous n’allons pas essayer d’expliquer les détails du chiffrement ici (vous pouvez lire un résumé technique plutôt bien fait par WhatsApp lui-même), mais plutôt les aspects clés, si vous me permettez ce petit jeu de mots :

Les effets secondaires de ces fonctionnalités, en admettant qu’il n’y a pas d’erreurs dans les protocoles cryptographiques utilisés dans les programmes développés pour leur implantation, sont :

La dernière fonctionnalité est connue sous le nom de confidentialité renforcée, car cela signifie que vous ne pouvez pas craquer un message à l’avenir. Par exemple, lorsque les ordinateurs deviennent plus rapides et peuvent automatiquement utiliser cette faille pour déverrouiller des années de trafic passé en une seule fois : il n’y a rien de comparable à un message basé sur une clé maître.

Quiconque penserait qu’un système de chiffrement doit contenir des backdoors, de manière à contourner délibérément la sécurité et la confidentialité à la demande, sera probablement mécontent de voir ce que WhatsApp a mis en place ici.

Cependant chez Sophos, notre philosophie est : #nobackdoors, ainsi nous sommes contents de ce que WhatsApp a mis en œuvre, et vous devriez l’être également.

L’histoire nous apprend que les backdoors de chiffrement créées de manière délibérée, finissent par servir plutôt aux personnes qu’elles étaient sensées combattre, et mettent en danger la plupart d’entre nous qui nous efforçons de respecter la loi.

Et enfin n’oublions pas que l’histoire n’est qu’un éternel recommencement !

chiffrement


Billet inspiré de “WhatsApp encrypts messages end-to-end: why you should care” par Paul Ducklin de Naked Security
Partagez “Chiffrement des messages de bout en bout sur WhatsApp : pourquoi se méfier ?” avec http://wp.me/p2YJS1-2Ck

1 Commentaire

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.