Protection de la vie privée : pourquoi WhatsApp a changé d’avis ? L’UE veut une réponse

WhatsApp est entré dans une zone de turbulences depuis la décision de partager les données de ses utilisateurs avec Facebook, à des fins marketing et publicitaires.

La firme a annoncé ce changement en Août, comme faisant partie de la mise à jour de ses conditions d’utilisation et Politique de Confidentialité, que les utilisateurs ont dû accepter, afin de pouvoir continuer à utiliser le service de messagerie.

A l’époque cette décision avait été vivement critiqué, et vue comme une intégration pure et simple des centaines de milliers d’utilisateurs de la messagerie au sein de la plateforme publicitaire de Facebook.

A présent, le groupe de travail “Article 29”, sur la protection des données au sein de l’Union Européenne, a publié une lettre ouverte peu flatteuse, en mettant en avant ses préoccupations.

Isabelle Falque Pierrotin, qui préside ce groupe de travail, a expliqué le problème, à savoir que les nouvelles conditions d’utilisation allaient à l’encontre des promesses faites aux utilisateurs, lorsqu’ils se sont inscrits à ce service. Elle a ajouté : “ces modifications ont été ajoutées en allant à l’encontre des déclaration publiques faites auparavant par les 2 entreprises, qui assuraient à l’époque qu’aucun partage de données ne serait réalisé”.

Ces dernières sont aussi restées vagues concernant la nature précise de ce partage, a-t-elle déclaré, en ajoutant : “le groupe de travail Article 29 a de sérieuses inquiétudes concernant la manière avec laquelle les informations relatives à la modification des Conditions d’Utilisation et Politique de Confidentialité, ont été mises à disposition des utilisateurs, et par conséquent s’interroge sur la validité du consentement des utilisateurs”.

Elle a signé une lettre d’avertissement à destination de WhatsApp avec la mention “interdiction de poursuivre sans s’être assuré que le processus utilisé était en conformité avec le cadre juridique européen”.

Est-ce que les dirigeants de WhatsApp et de Facebook devraient s’inquiéter ? Il s’agit uniquement d’une lettre d’avertissement après tout, et les 2 compagnies ont certainement déjà commencé à intégrer leurs services comme précisé dans leurs déclarations. WhatsApp a déclaré : “en mettant en place davantage de coordination avec Facebook, nous serons capables de faire des choses telles que le suivi des indicateurs classiques tels que la fréquence d’utilisation de nos services, et ainsi mieux combattre les spams sur WhatsApp”.

Plus précisément WhatsApp a ajouté : “Facebook peut offrir de meilleures suggestions d’ajout d’amis et vous proposer des publicités mieux adaptées si vous détenez un compte chez eux. Par exemple, vous pourrez voir une publicité avec une entreprise avec laquelle vous travaillez déjà, plutôt qu’une venant de quelqu’un dont vous n’avez jamais entendu parler auparavant”.

D’autre part, le groupe de travail “Article 29” a eu une grande influence au niveau des politiques de protection de la vie privée depuis qu’elle a été mise en place à l’époque des premières directives sur la protection des données, 95/46/EC en 1995.

Les dérives de la mission de départ

Il est question en réalité de la dérive de la protection de la vie privée. En effet, la service avait démarré avec une implication forte concernant la protection de la vie privée, mais ensuite s’est retrouvé dilué pour des raisons commerciales, ou encore comme dans le cas de WhatsApp, mis sous contrôle d’un tiers.

Il est possible de désactiver certaines parties de cette nouvelle politique de partage, cependant la responsabilité est du côté de l’utilisateur et de sa capacité à le faire.

L’ironie qui se cache derrière tout cela est que WhatsApp et Facebook Messenger (la dernière application de messagerie qui date d’avant l’achat de WhatsApp), se sont concentrés sur l’amélioration de la sécurité intrinsèque de leurs plateformes de messagerie.

Plus tôt cette année, WhatsApp a annoncé qu’il avait commencé à utiliser le protocole Signal, leader dans son domaine et provenant d’Open Whisper Systems, offrant un chiffrement complet de bout en bout, avec la fonction PFS (Perfect Forward Secrecy). Plusieurs mois après, Facebook a commencé à utiliser la même technologie.

Cela signifie qu’au niveau des 2 services, les clés utilisées pour le chiffrement des messages entre les 2 utilisateurs sont stockées sur leurs équipements plutôt que les serveurs du fournisseur du service. Le PFS est une technique pour changer ces clés, afin d’empêcher qu’aucune ne puisse être utilisée pour déverrouiller d’autres messages.

Cependant, les utilisateurs veulent pouvoir se trouver facilement les uns les autres au niveau de ces services. Ce qui signifie la création d’un répertoire public regroupant les utilisateurs et les numéros de téléphone que l’entreprise peut alors utiliser.

Les messages envoyés par les utilisateurs est top secret, mais les associations et les comportements (surtout s’ils sont aussi sur Facebook) ne le sont pas. C’est bien pour cette raison que les utilisateurs ont de la valeur au départ.

Pour finir, nous avons au grand jour le paradoxe même d’une messagerie associée à la protection de la vie privée : nous pouvons davantage nous protéger, tout en étant davantage observé !

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Protection de la vie privée : pourquoi WhatsApp a changé d’avis ? L’UE veut une réponse : http://wp.me/p2YJS1-325
Billet inspiré de Why did WhatsApp change its mind over privacy? The EU wants answers, par John E Dunn, Sophos NakedSecurity.