Que change le chiffrement de WhatsApp?
L’ « annonce » de WhatsApp utilisant le chiffrement de bout en bout ne doit pas vous leurrer:
- Le chiffrement de bout en bout utilisé fait abstraction du problème des métadonnées.
Leur page sur la sécurité et le whitepaper sur le chiffrement prend bien soin de ne pas parler du traitement réservé aux métadonnées. Or les métadonnées sont les données les plus efficaces aujourd’hui pour décrire un comportement. Elles sont faciles à analyser.
WhatsApp récupère toujours tout votre carnet de contacts et vous identifie par votre numéro de téléphone.
Il note pour chaque message envoyé les numéros de téléphone de l’émetteur et du destinataire, l’heure, les IP. Donc si DSK appelle Julie Gayet à tous les jours à 2H du matin, WhatsApp a cette info, l’enregistre et la transmet à des tiers.
C’est bien caché mais écrit noir sur blanc dans leur conditions légales, dans le paragraphe « The Information WhatsApp Does Not Collect » : « Notwithstanding the above, WhatsApp may retain date and time stamp information associated with successfully delivered messages and the mobile phone numbers involved in the messages, as well as any other information which WhatsApp is legally compelled to collect. »
Donc vous ne pouvez même pas dire que vous ne saviez pas. - Derrière le vernis de la communication, personne ne peut vérifier ce qu’il en est réellement. On ne peut pas vérifier le code tournant sur le téléphone ni vérifier le contenu du serveur.
- Si dans une prochaine mise à jour, WhatsApp coupe court au chiffrement pour faire du MitM, vous n’aurez aucun moyen de le voir.
- Le serveur de WhatsApp est l’unique délivreur des clés publiques temporaires utilisées pour le chiffrement des messages. Il est donc aisé pour lui de faire un MITM quand ça lui chante sans aucune modification du code client.
- WhatApp comme Signal, utilise Google Cloud Messaging pour acheminer les messages. Pour l’utiliser, il faut avoir les GoogleApps installées et donc donner les droits root sur son téléphone à Google. Donc rien n’empêche Google de récupérer votre clé privée de WhatsApp quand ça lui chante. Si c’est pour se protéger de Google/NSA/USA, c’est raté.
- Facebook (la maison mère de WhatsApp) n’est pas philanthrope. Le but est de faire le maximum de thune. Avec WhatsApp, je pense qu’ils essayent aussi de conquérir 90% du marché pour remplacer les opérateurs de téléphonie classique. Si bien que demain on sera obligé de donner son carnet d’adresse et le détail de ses communications à WhatsApp/USA.
A mon avis, l’onion routing est une bien meilleure façon d’avoir une vie privée. Il faudrait contrôler chacun des nœuds intermédiaires pour avoir accès aux métadonnées.
Sinon, contrôler son serveur de connexion (celui qui manipule les métadonnées) peut également être une solution. Par exemple dans le cas serveur de connexion de WhatsApp, seul WhatsApp sait qui communique avec qui.
Voila, personnellement, j’utilise Conversations (un logiciel libre) depuis Fdroid (un dépôt d’application de logiciels libres recompilés et qui ne demande pas de droits root). Conversation fait du chiffrement de bout en bout (y compris sur le transfert des photos/audios/fichiers) avec OMEMO, OTR ou PGP au choix.
J’ai mon serveur XMPP sous Prosody.
Related Posts:
- Avec Silence, chiffrez vos SMS sur Android
- SMSSecure, chiffrez vos SMS sur Android
- Changer son adresse MAC de manière permanente sous Android
- Faille dans le noyau Linux : le root en 1 clic sur Android
- USB dumper
(8)Je n'aime pas !
(1)
