WhatsApp aurait une “porte dérobée” le rendant vulnérable à l’espionnage

© Belgaimage

L’application de messagerie WhatsApp détenue par Facebook possède une porte dérobée (backdoor) la rendant vulnérable à l’espionnage, a affirmé vendredi le quotidien britannique The Guardian.

Tobias Boelter, un chercheur en cryptographie et sécurité de l’université de Californie à Berkley, a expliqué au journal avoir découvert la présence d’une “porte dérobée” permettant d’avoir accès aux conversations cryptées du plus d’un milliard d’usagers que compte WhatsApp, alors que ces conversations sont censées être protégées par le chiffrement de bout en bout.

Cette porte dérobée, affirme le Guardian, permet à WhatsApp de récupérer, lorsque les téléphones sont éteints, des messages cryptés envoyés mais pas encore lus. WhatsApp peut alors les déchiffrer et les envoyer à nouveau au destinataire qui n’est pas informé du changement de chiffrement. L’expéditeur est quant à lui prévenu seulement s’il a activé une option de sécurité.

Cette nouvelle opération de cryptage permet en pratique à WhatsApp d’intercepter et de lire les messages de ses utilisateurs, explique le Guardian.

M. Boelter estime donc que “si WhatsApp se voit demander par une agence gouvernementale de révéler ses messages archivés, il peut tout à fait donner accès (à ces archives) grâce aux changements dans les clés” de cryptage.

Un porte-parole de WhatsApp s’est défendu d’offrir “toute porte dérobée vers ses systèmes” et ajouté que WhatsApp “se battra contre toute demande de gouvernement réclamant la création d’une porte dérobée”, dans un communiqué transmis à l’AFP.

Il a justifié la possibilité de forcer la génération de nouvelles clés de cryptage comme une facilité offerte à ses clients qui dans de nombreux pays changent fréquemment de carte Sim et d’appareil téléphonique, afin que leur messages ne soient pas perdus.

Pour Kevin Bocek, stratégiste en chef en matière de sécurité chez Venafi, une société de cybersécurité, “il s’agit d’une faille très sérieuse. WhatsApp a besoin de connaître comment les clefs sont protégées afin de sécuriser et de maintenir privées les communications de plus d’un milliard d’utilisateurs”.

Partner Content