Quel est le danger de WhatsApp ?

Le récent désastre des relations publiques de WhatsApp a vu des dizaines de millions de personnes affluer vers d’autres plateformes. Des millions d’autres envisagent maintenant de faire la même chose, après un commentaire de bâton sur le partage de données avec Facebook. Mais attention : tous les messagers ne sont pas les mêmes et vous pourriez prendre un risque plus « dangereux » que vous ne le pensez. Alors, que faire ?

« Utiliser WhatsApp est dangereux », a averti Pavel Durov, fondateur de Telegram, en janvier dernier, en citant des cyberattaques contre WhatsApp fonctionnant sur des téléphones appartenant à des cibles clés, y compris Jeff Bezos. Un an plus tard, Pavel Durov célèbre « la plus grande migration numérique de l’histoire de l’humanité », écrivant que « la première semaine de En janvier, Telegram a dépassé 500 millions d’utilisateurs actifs mensuels — 25 millions de nouveaux utilisateurs ont rejoint Telegram au cours des dernières 72 heures seulement ».

A découvrir également : Quelles sont les étapes avant la création d’un site internet ?

Dans son avertissement, Pavel Durov a cité une vulnérabilité de WhatsApp dans son traitement des fichiers vidéo ainsi que des attaques présumées de l’État-nation comme celle visant les Bezos. Pavel Durov a déclaré que « les portes dérobées sont généralement camouflées comme des vulnérabilités de sécurité « accidentelles » — l’année dernière seulement, 12 de ces vulnérabilités ont été découvertes dans WhatsApp. » Pavel Durov a également souligné (à juste titre) les risques auxquels sont confrontés les utilisateurs qui enregistrent l’histoire de leurs discussions dans les clouds publics et remis en question la légendaire sécurité de WhatsApp. « Comment pouvons-nous être sûrs que le cryptage que WhatsApp prétend utiliser est celui qui est implémenté dans ses applications ?

WhatsApp » se bat maintenant pour réparer la blessure qu’elle s’est infligée en modifiant ses conditions de service juste après que les étiquettes de confidentialité d’Apple aient révélé sa vaste collecte de données. C’était un cauchemar de relations publiques pour la société. Et bien qu’elle ait soutenu l’ultimatum du 8 février, il y a encore aucune contrition quant à l’étendue de la collecte de données elle – même. On ne peut s’empêcher de penser que WhatsApp devra faire plus, car ses concurrents accueillent suffisamment d’utilisateurs fuyant WhatsApp pour pousser leurs back-ends à la limite.

A lire également : Comment avoir Netflix 1 mois gratuit ?

Les deux concurrents de WhatsApp qui ont le plus profité de sa chute sont Signal et Telegram. Mais ils sont très différents les uns des autres, et le débat WhatsApp versus Telegram versus Signal a montré à quel point la plupart des utilisateurs ne sont pas conscients de ces différences critiques. Pire encore, de nombreux articles expliquant les problèmes et les alternatives de WhatsApp ne dissipent pas cette confusion. Ça te met en danger.

Telegram offre une fonctionnalité comme les canaux, qui sont des flux publics.

Cela fait de Telegram une alternative à Twitter plus que Signal.

L’ afflux de nouveaux utilisateurs de Telegram est peut-être l’aspect le plus intéressant de l’exode de WhatsApp. Soyons très clear : si Signal est un look plus sûr de WhatsApp, Telegram n’en est pas un. C’est une plate-forme complètement différente, conçue pour un objectif complètement différent. Et bien que Pavel Durov dit « Je considère les chats secrets de Telegram beaucoup plus sûrs que tout autre moyen de communication simultané », c’est que Telegram n’est pas chiffré de bout en bout par défaut, et ces conversations secrètes ne fonctionnent que entre deux appareils — ils ne s’étendent pas aux groupes, et doivent être sélectionnés manuellement.

Telegram a été décrit comme étant à la fois les médias sociaux et la messagerie. Il s’agit d’une plateforme basée sur le cloud qui a été conçue pour transmettre des messages « en toute transparence sur n’importe quel téléphone, tablette ou numéro d’ordinateur ». Le premier cas d’utilisation de Telegram a soutenu les dissidents et les groupes de protestation. En hébergeant des messages hors de portée, n’importe quel appareil peut être utilisé pour accéder au référentiel. Et si vos données sont hors de portée des autorités, elles sont techniquement accessibles par Telegram et son les employés.

Telegram exploite d’énormes groupes et canaux, en tant que tels, il héberge le contenu de la même manière que Facebook et Twitter, transmis aux membres abonnés. Cette fonctionnalité a nui à la réputation de Telegram en raison de l’utilisation présumée de la plateforme par des criminels, des terroristes et des groupes haineux.

« Les applications de chat qui offrent des fonctionnalités au-delà de la messagerie compromettent souvent la confidentialité au profit de fonctionnalités supplémentaires », met en garde Tommy Mysk, chercheur en sécurité. « Telegram offre des fonctionnalités telles que les canaux, qui sont des flux publics. Cela fait de Telegram une alternative à Twitter plus que Signal. Telegram mélange des méthodes de messagerie chiffrées de bout en bout avec d’autres, comme les chats et les canaux normaux, qui ne le sont pas. Un profane ne fera pas la différence et pourrait finir par opter pour une fonctionnalité moins sécurisée ».

Facebook a toujours été le talon d’Achille de WhatsApp, et cela représente un risque depuis 2014.

Sauf pour ses chats secrets limités, Telegram ne crypte pas les messages que vous envoyez à vos contacts, mais il crypte les messages entre votre appareil et son cloud, et encore entre son cloud et vos contacts. Vous pouvez utiliser plusieurs appareils pour accéder à votre référentiel de messages dans le cloud, et Telegram détient les clés de tout ce chiffrement.

En revanche, Signal et WhatsApp chiffrent tous les deux de bout en bout par défaut. Et bien que Pavel Durov ait raison, WhatsApp ne rend pas son cryptage open-source, il est basé sur le propre protocole de Signal, qui est entièrement open-source. Il n’y a jamais eu d’allégations crédibles de vulnérabilités dans ce transport de messages chiffrés lui-même, seulement avec des terminaux compromis — c’est-à-dire frapper les téléphones avec des logiciels malveillants.

« Lorsque vous ajoutez des capacités d’état-nation et la capacité d’attaquer les appareils », déclare Ian Thornton-Trump, le système d’information de Cyjax Agent de sécurité, « tous les paris sont ouverts et la conversation (au moins une partie) est aussi vulnérable que s’il s’agissait uniquement du texte brut ».

Mais il s’avère que si les prétendues attaques de logiciels espions israéliens et diverses vulnérabilités techniques n’ont pas réussi à ébranler la confiance de la vaste base d’utilisateurs de WhatsApp, la combinaison des étiquettes de confidentialité d’Apple et un changement mal interprété dans ses termes de service ( » WhatsApp partage vos données avec Facebook »), a provoqué une réaction brutale. Facebook a toujours été le talon d’Achille de WhatsApp, et cela représente un risque depuis 2014.

Les utilisateurs ont des raisons légitimes de vouloir passer de WhatsApp à d’autres alternatives : la plate-forme recueille trop de données, elle partage une partie de ces données avec Facebook, elle développe des offres commerciales sans pouvoir offrir des fonctionnalités et des sauvegardes multi-appareils Entièrement sécurisés dans le cloud. Et, surtout, en raison de l’intégration prévue avec Facebook Messenger et Instagram.

Mais la seule raison de ne pas quitter WhatsApp est liée aux préoccupations concernant la sécurité de ses messages. WhatsApp a gagné le mérite d’avoir un accès universel au chiffrement de bout en bout, et bien que n’importe quelle plate-forme de cette échelle soit soumise à des attaques sophistiquées de la part des États-nations, il suffit de Watch Apple, le chiffrement de bout en bout WhatsApp est parfait. L’ironie est que les millions de personnes qui passent de WhatsApp à Telegram seront moins sécurisés en le faisant — ce n’est pas une question d’opinion, c’est parce que l’application n’a pas de chiffrement de bout en bout par défaut.

Ne me croyez pas sur parole — regardons ce que dit l’application Telegram elle-même. « Dois-je faire confiance à Telegram pour le sécuriser ? demande à la plate-forme dans sa propre FAQ. « Quand il s’agit de discussions secrètes, vous n’en avez pas besoin », dit-elle. Et à la question, « pourquoi ne pas simplement faire le secret de tous les chats » ? Telegram soutient qu’elle a a établi un équilibre entre la sécurité, la vitesse et l’accès à plusieurs appareils, ainsi que la restauration des messages en cas de perte du téléphone. Elle a fait un compromis avec « les messages de chat secret utilisant le chiffrement client-client tandis que les chats cloud utilisent le chiffrement client-serveur/serveur-client et sont stockés cryptés dans le nuage de Telegram ».

Telegram a raison  : si les utilisateurs choisissent d’utiliser le cloud public de WhatsApp (sauvegardes Apple ou Google), ils perdent la protection de la sécurité de bout en bout. Mais avec WhatsApp, vous pouvez échanger le risque de perte d’appareil contre un compromis sur la sécurité des messages. Avec Telegram, vous n’avez pas à faire ce choix si vous ne vous en tenez pas aux discussions secrètes.

Étant donné que la plupart de vos messages Telegram ne sont pas chiffrés de bout en bout, vous vous fiez à la sécurité interne et aux politiques de Telegram. « Pour protéger les données qui ne sont pas couvertes par le chiffrement de bout en bout », il indique « Telegram utilise une infrastructure distribuée. Cloud les données de chat sont stockées dans plusieurs centres de données à travers le monde contrôlés par différentes entités juridiques dans différentes juridictions. Les clés de déchiffrement pertinentes sont divisées en plusieurs parties et ne sont jamais stockées au même endroit que les données qu’elles protègent. »

Gardez à l’esprit l’origine de Telegram — il s’agit de ne pas divulguer les données aux autorités. En raison de cette structure, « plusieurs ordonnances judiciaires de différentes juridictions sont nécessaires pour nous obliger à renoncer à toutes les données… Nous pouvons garantir qu’aucun gouvernement ou bloc de pays partageant les mêmes vues ne peut interférer avec la vie privée et la liberté d’expression des gens. Telegram ne peut être forcé d’abandonner les données que s’il y a un problème sérieux et universel suffisant pour passer au crible plusieurs systèmes juridiques différents dans le monde ». Tout cela, dit-il, signifie que « nous avons divulgué 0 octets de données utilisateur à des tiers, y compris les gouvernements ».

Mais Tommy Mysk avertit que « Telegram diffère de Signal et même WhatsApp par la façon dont il demande constamment l’accès aux contacts. Telegram rend impossible l’utilisation de l’application sans accorder l’accès aux contacts. En outre, l’application offre à ses utilisateurs la possibilité de se connecter sans échanger de numéros de téléphone. Toutefois, lors de l’ajout d’un nouveau contact par nom d’utilisateur, l’option permettant de partager le numéro de téléphone de l’utilisateur avec le nouveau contact est activée par défaut. »

En tant qu’utilisateur de Telegram, si vous voulez obtenir la sécurité de la messagerie actuelle utilisée par WhatsApp, vous devez vous en tenir à ces chats secrets. Mais contrairement à WhatsApp, Signal et iMessage, entre autres, ces threads secrets ne peuvent pas inclure de groupes. Avec les conversations secrètes, Telegram affirme que « toutes les données sont cryptées avec une clé que vous seul et le destinataire connaissez — il n’y a aucun moyen pour nous ou quiconque sans accès direct à votre appareil de savoir quel contenu est envoyé dans ces messages… Les chats secrets ne font pas partie de le nuage Telegram et ne sont pas accessibles uniquement sur leur appareil d’origine. »

Cela peut sembler familier aux utilisateurs de WhatsApp, qui dit : « Le chiffrement de bout en bout garantit que seuls vous et votre interlocuteur pouvez lire ou écouter ce qui est envoyé, et personne entre les deux, pas même WhatsApp. En effet, avec le chiffrement de bout en bout, vos messages sont sécurisés avec un verrou, et seuls vous et le destinataire avez la clé spéciale pour les déverrouiller et les lire. Tout cela se passe automatiquement : il n’est pas nécessaire d’activer des paramètres spéciaux pour sécuriser vos messages ».

Telegram n’est pas une plateforme à haut risque . Mais ce n’est pas l’avance de WhatsApp, en termes de sécurité, qu’il prétend. En fait, les deux plates-formes ont des problèmes — quoique différentes — et sont raisonnablement sécurisées. Se déplacer d’un à l’autre n’a pas beaucoup de sens.

Si vous souhaitez quitter WhatsApp pour des raisons de sécurité et de confidentialité, vous devrait passer à Signal, pas Telegram. Signal est le look le plus proche de WhatsApp. L’application ne lie aucune donnée à ses utilisateurs, bien qu’elle utilise votre numéro de téléphone pour identifier votre compte.

Mais qu’en est-il des autres plates-formes de messagerie — comment y arriver ?

L’ architecture de messagerie la plus sophistiquée est celle d’Apple. iMessage est basé sur des astuces, permettant aux utilisateurs de gérer un référentiel de messages iCloud central qui se synchronise sur tous les appareils Apple de confiance, sans jamais perdre le chiffrement de bout en bout. Dans le langage de Telegram, c’est le meilleur des deux mondes. Pour cela, vous devez avoir activé « Messages dans iCloud ». Cependant, il y a une mise en garde. Si vous avez également activé les sauvegardes iCloud, une copie de votre clé de chiffrement de bout en bout sera incluse.

Le principal problème avec iMessage , bien sûr, est qu’il ne fonctionne pas sur plusieurs plates-formes. Ainsi, bien qu’il est l’option L’e-mail le plus intelligent pour les utilisateurs Apple, il ne peut pas être l’e-mail de référence sur votre appareil. La solution de secours lors de l’envoi de messages à des utilisateurs non-Apple est SMS, mais SMS est un spectacle d’horreur de sécurité.

Android Messages n’est pas une bonne alternative à WhatsApp. Il s’agit essentiellement d’un client SMS qui a maintenant évolué vers RCS pour ajouter les fonctionnalités de chat disponibles dans WhatsApp et iMessage. Il n’est pas chiffré de bout en bout pour le moment, bien que Google ait cette mise à jour en version bêta. Mais pour l’instant, cela ne fonctionne que pour la messagerie 1:1, un peu comme Telegram, ne s’étend pas aux groupes et nécessite les deux côtés d’un chat sur l’application bêta.

Facebook Messenger est encore moins réalisable. Il offre une option de chat 1:1 « secret » similaire à celle de Telegram, qui est chiffrée de bout en bout, mais tout le reste n’a pas ce niveau de sécurité. Il a également une politique de confidentialité déplorable : Facebook recueille un large éventail de métadonnées et le admet la surveillance du contenu, y compris les liens vers des fichiers et des pièces jointes. Le meilleur conseil pour les utilisateurs de Facebook Messenger est de changer d’e-mail.

D’ autres options moins connues sont désormais disponibles, notamment Viber, qui ajoute des messages chiffrés de bout en bout à sa plate-forme VoIP, et Wickr, qui est mieux décrit comme une version d’entreprise de Signal, conçue pour une utilisation en entreprise. Il y a aussi la société suisse Threema, qui est devenue le favori des gens qui sont très préoccupés par la sécurité. Cette plateforme est encore plus sécurisée que Signal : elle n’utilise pas de numéros comme identifiants et peut donc garder les comptes complètement anonymes. Cependant, sa base d’utilisateurs est beaucoup plus petite, donc vous ne trouverez probablement pas beaucoup de vos contacts (le cas échéant) à bord.

J’ ai demandé à Flavio Aggio , responsable de la sécurité des systèmes d’information à l’Organisation mondiale de la Santé, quel message il recommanderait. Il n’a pas recommandé un seul, mais il a mentionné Signal, Threema et Telegram comme bonnes options. J’ai eu l’impression qu’il serait ravi de recevoir Threema si on lui demandait — le fait qu’il puisse être utilisé sans numéro de téléphone est un atout majeur.

Si vous changez d’e-mail, vous pouvez utiliser l’une des alternatives chiffrées de bout en bout que j’ai mentionnées. Telegram peut vous convenir aussi, mais assurez-vous de bien comprendre les différences et les risques ; vous vous engagez à stocker la plupart de votre contenu dans le nuage de Telegram, ce qui ne sera pas le cas pour tout le monde. La plupart des nouveaux utilisateurs ne sont pas conscients de cela et supposent qu’il s’agit d’une version plus sécurisée de WhatsApp. Ce n’est tout simplement pas le cas.

Pour Jake Moore d’ESET,« Signal semble gagner la course contre Telegram », d’après les contacts qu’il voit bouger. « Je pense que cela peut continuer en raison de son offre de chiffrement de bout en bout par défaut », dit-il, « un must pour tout service de messagerie à mon avis. La migration des personnes vers des applications de confidentialité ne se fait pas du jour au lendemain. Cependant, WhatsApp est disponible depuis des années avant de devenir la première plate-forme de messagerie ».

Ce dilemme de désinformation a été parfaitement illustré par l’un des nombreux courriels que j’ai reçus cette semaine de plateformes de messagerie cherchant à faire la publicité de leurs produits. « Les applications de messagerie, comme Telegram et Signal, sont chiffrées de bout en bout », dit l’e-mail. WhatsApp, bien que chiffré de bout en bout, présente un certain nombre de défauts qui permettent de stocker ou de partager des conversations. »

Tout cela est dangereusement trompeur et montre que les utilisateurs quotidiens peu probables doivent repérer les mauvaises informations pour obtenir les faits. Signal et WhatsApp sont chiffrés de bout en bout par défaut, Telegram n’est pas chiffré. Et bien que le déploiement de Signal soit entièrement open source et donc théoriquement plus sûr, il n’y a pas de « défauts » dans WhatsApp, par lequel l’e-mail signifiait backdoors permettant à Facebook de surveiller le contenu.

Comme le souligne Philip Ingram , ancien agent du renseignement, « le débat sur le maintien de la sécurité avec différentes applications de messagerie après l’exode massif de WhatsApp souligne que de nombreuses personnes utilisant l’excuse de la vie privée semblent vouloir suivre les habitudes induites par le troupeau plutôt que de penser par eux-mêmes ». Sans surprise, Philip Ingram utilise Threema. « Une application de messagerie vraiment anonyme basée en Suisse », dit-il. « Je n’ai jamais regretté. »

Catégories de l'article :
High-Tech