Face au tollé qui a suivi l'évolution de ses conditions générales et aux vagues de départs pour d'autres plateformes de messagerie chiffrée (Telegram, Signal...), WhatsApp et Facebook (sa maison-mère) tentent de renverser la vapeur. Après le chiffrement de bout en bout des messages, le géant des réseaux sociaux veut montrer que son outil propose à ses clients des conditions suffisantes pour mettre à l'abri des regards leurs archives de conversations. « Nous ajoutons une autre couche de confidentialité et de sécurité à WhatsApp : une option de chiffrement de bout en bout pour les sauvegardes que les gens choisissent de stocker dans Google Drive ou iCloud », a indiqué Mark Zuckerberg. La fonction de chiffrement des sauvegardes, détaillée dans un document, sera disponible pour iOS et Android dans les prochaines semaines.
Ni WhatsApp, pas plus que tout autre prestataires de service, ne pourront accéder aux sauvegardes ou aux clés de chiffrement des utilisateurs, assure le fournisseur. « Le service frontend de WhatsApp, ChatD, gère les connexions client et l'authentification client-serveur, et implémentera un protocole qui envoie les clés des sauvegardes vers et depuis les serveurs de WhatsApp », explique le réseau social. « Le client et le coffre-fort de clés de sauvegarde basé sur un HSM [module de sécurité hardware] échangeront des messages chiffrés, dont le contenu ne sera pas accessible à ChatD lui-même ». Afin de prévenir tout risque de surcharge sur le réseau et des goulets d'étranglement, WhatsApp a prévu que le système de coffre-fort de clés de sauvegarde (HSM) sera réparti de façon distribuée sur plusieurs continents dans différents datacenters.
Renseigner à la main la clé de chiffrement à 64 caractères
Les sauvegardes peuvent également être sécurisées avec un mot de passe, auquel cas la clé de chiffrement est enregistrée dans le HSM. « Lorsque le propriétaire du compte utilise un mot de passe personnel pour protéger sa sauvegarde chiffrée de bout en bout, le HSM le stocke et le protège », poursuit WhatsApp. Pour la retrouver, l'utilisateur doit d'abord entrer ce mot de passe qui sera chiffré et vérifié par l'outil. Une fois le mot de passe validé, Backup Key Vault renvoie ensuite la clé de chiffrement au client WhatsApp qui permet alors de déchiffrer les sauvegardes. « Si un propriétaire de compte a choisi uniquement d'utiliser une clé à 64 caractères (64 digit key), il devra saisir manuellement la clé lui-même pour déchiffrer et accéder à ses sauvegardes », prévient le fournisseur. Un type de clé qui permet de bien protéger ses données, la combinaison de 1664 laissant peu d'espoir d'être cassée.
Comparons et analysons un peu :
Signaler un abusDepuis Snowden (au moins 2013) nous avons que les gouvernements (NSA, GCHQ au moins) savent décrypter les flux cryptés circulants sur l'internet (SSL, VPN, ...). Ces flux sont cryptés avec des clés de 128bits.
WhatsApp crypte les données avec une clé bien plus faible de 64 bits seulement.
Les clés de chiffrement sont ... chez WhatsApp.
Donc nous pouvons sans aucune hésitation dire que WhatsApp promet une sécurité basée sur un cryptage que de nombreux gouvernements savaient déjà casser facilement en 2013 et qu'ils n'ont même pas besoin de casser vus que vos clés, ce sont eux qui les gardent.
À vous de voir s'il y a sécurité de vos archives lorsqu'elles sont cryptées avec une clé qu'ils possèdent et qui était déjà facile à casser en 2013.