Durov accuse WhatsApp de 'gigantesque escroquerie' sur le chiffrement Pavel Durov remet en cause le chiffrement de WhatsApp en citant des sauvegardes en clair sur iCloud, posant une question clé sur la sécurité des messages.
Le chiffrement de WhatsApp est au cœur d'un débat public après les propos du PDG de Telegram, Pavel Durov, qui a qualifié la promesse de chiffrement de bout en bout de « gigantesque escroquerie envers les consommateurs ». Selon lui, environ 95 % des messages WhatsApp se retrouveraient sous forme de sauvegardes en texte clair sur les serveurs d'Apple. Ces affirmations relancent une discussion sur ce que couvre réellement le chiffrement et sur ce qui peut être exposé dans les sauvegardes cloud.
Pour comprendre le sujet, il faut distinguer le chiffrement des messages en transit du chiffrement des sauvegardes. WhatsApp affirme que les échanges entre deux téléphones sont protégés par un chiffrement de bout en bout, ce qui signifie que seul l’expéditeur et le destinataire peuvent lire le contenu. En revanche, les sauvegardes exportées vers des plateformes comme iCloud d’Apple ou Google Drive ne bénéficient pas nécessairement du même niveau de protection, et leur accès dépend des mécanismes de sécurité mis en place par ces services.
Ce qui est en jeu pour les consommateurs
Le point de vue de Durov incite à s'interroger sur le vrai niveau de sécurité offert par les sauvegardes et sur qui peut accéder au contenu des messages en cas de fuite de données ou de demande légale. Si 95 % des messages peuvent être lus via les sauvegardes, la protection fournie par le chiffrement des échanges peut devenir moins évidente pour l'utilisateur moyen qui ne gère pas ses clés ou ses sauvegardes hors ligne.
Nuances et réponses éventuelles
Telegram et d'autres défenseurs de la sécurité soulignent que les sauvegardes non chiffrées posent un risque, notamment lorsque ces sauvegardes reposent sur des plateformes externes. WhatsApp affirme pour sa part que le chiffrement de bout en bout protège le contenu des messages et que les sauvegardes cloud dépendent des politiques des services hôtes. Des options existent pour renforcer la sécurité : activer la sauvegarde chiffrée de bout en bout lorsque disponible, et protéger l’accès à ces sauvegardes avec une clé ou un mot de passe choisi par l’utilisateur. La complexité réside dans le fait que l’expérience utilisateur dépend du système d’exploitation et des paramètres par défaut des plateformes cloud.
Pour les utilisateurs : ce qu'il faut vérifier
- Sauvegardes et clés : activez l’option de sauvegardes chiffrées de bout en bout lorsque disponible et protégez-les avec une clé ou un mot de passe indépendant de votre compte.
- Gestion des appareils : vérifiez les sessions actives et les appareils autorisés pour éviter les accès non souhaités à vos sauvegardes.
- Compréhension du risque : savoir que le chiffrement protège les messages en transit, mais que les sauvegardes stockées sur des services cloud peuvent exposer du contenu si elles ne sont pas chiffrées de bout en bout.
Contexte et limites
Cette controverse illustre le clivage entre les promesses techniques et les réalités des sauvegardes cloud. Les défenseurs du chiffrement insistent sur le fait que les sauvegardes restent un maillon sensible, surtout lorsque l’utilisateur n’a pas le contrôle direct des clés. À l’inverse, les plateformes cloud écument des enjeux opérationnels et d’ergonomie qui influent sur les choix de sécurité par défaut. En l’état, il est difficile d’affirmer que le système entier soit invulnérable, et les utilisateurs doivent peser les choix entre simplicité d’usage et protection renforcée de leurs données.
Pour terminer
La discussion autour du chiffrement de WhatsApp montre que protéger les échanges ne suffit pas si les sauvegardes externes restent exposées. Pour les utilisateurs qui veulent une sécurité renforcée, il convient d’examiner les paramètres de sauvegarde et d’activer les options de chiffrement de bout en bout disponibles, tout en restant conscient des limites inhérentes au stockage sur des services tiers. Le débat n’est pas clos et continuera d’évoluer avec les évolutions des offres de messagerie et des politiques de sauvegarde.
Source: Developpez.com — Sécurité
