Pourquoi WhatsApp ne sera jamais sécurisé ?

Pourquoi WhatsApp ne sera jamais sécurisé ?

Pavel Durov


Le monde semble choqué d'apprendre que WhatsApp a transformé n'importe quel téléphone en spyware. Tout ce qui se trouvait sur votre téléphone, y compris les photos, les courriels et les textes, était accessible par des attaquants simplement parce que vous aviez WhatsApp installé [1].  

Cette nouvelle ne m'a pas surpris. L'an dernier, WhatsApp a dû admettre qu'ils avaient un problème très similaire - un seul appel vidéo via WhatsApp était tout ce dont un pirate avait besoin pour avoir accès à l'ensemble des données de votre téléphone [2]. 

Chaque fois que WhatsApp doit corriger une vulnérabilité critique dans son application, une nouvelle vulnérabilité semble apparaître à sa place. Tous leurs problèmes de sécurité sont commodément adaptés à la surveillance et ressemblent beaucoup à des portes dérobées.  

Contrairement à Telegram, WhatsApp n'est pas open source, donc il n'y a aucun moyen pour un chercheur en sécurité de vérifier facilement si son code contient des portes dérobées. Non seulement WhatsApp ne publie pas son code, mais ils font exactement le contraire : WhatsApp masque délibérément les binaires de leurs applications pour s'assurer que personne ne peut les étudier à fond. 

WhatsApp et sa société mère Facebook pourraient même être obligés de mettre en place des portes dérobées - via des processus secrets tels que les "gag orders" du FBI [3]. Il n'est pas facile d'exécuter une application de communication sécurisée depuis les États-Unis. Une semaine que notre équipe a passée aux Etats-Unis en 2016 nous a valu 3 tentatives d'infiltration par le FBI [4] [5]. Imaginez ce que 10 ans dans cet environnement peuvent apporter à une entreprise américaine. 

Je comprends que les agences de sécurité justifient la mise en place de portes dérobées par des efforts anti-terroristes. Le problème est que ces portes dérobées peuvent également être utilisées par des criminels et des gouvernements autoritaires. Pas étonnant que les dictateurs semblent aimer WhatsApp. Son manque de sécurité leur permet d'espionner leur propre peuple, de sorte que WhatsApp continue d'être librement disponible dans des endroits comme la Russie ou l'Iran, où Telegram est interdit par les autorités [6].

De fait, j'ai commencé à travailler sur Telegram en réponse directe aux pressions personnelles des autorités russes. À l'époque, en 2012, WhatsApp transférait encore des messages en texte clair en transit. C'était de la folie. Pas seulement les gouvernements ou les hackers, mais aussi les fournisseurs mobiles et les administrateurs wifi avaient accès à tous les textes WhatsApp [7] [8]. 

Plus tard, WhatsApp a ajouté du cryptage, qui s'est rapidement avéré être un stratagème marketing : La clé pour déchiffrer les messages était à la disposition d'au moins plusieurs gouvernements, dont les Russes [9]. Puis, alors que Telegram commençait à gagner en popularité, les fondateurs de WhatsApp ont vendu leur entreprise à Facebook et ont déclaré que "la vie privée était dans leur ADN" [10]. Si c'est vrai, ça devait être un gène dormant ou récessif. 

Il y a 3 ans, WhatsApp a annoncé la mise en place d'un cryptage de bout en bout pour qu'"aucun tiers ne puisse accéder aux messages". Cela coïncidé avec une démarche agressive pour que tous ses utilisateurs sauvegardent leurs discussions dans le Cloud. Lors de cette démarche, WhatsApp n'a pas dit à ses utilisateurs qu'une fois sauvegardés, les messages ne sont plus protégés par un cryptage de bout en bout et sont accessibles aux pirates et aux services de police. Un marketing brillant, avec pour résultat des gens naïfs qui purgent leur peine en prison [11].

Ceux qui sont assez résistants pour ne pas tomber dans le piège des incessants popups leur disant de sauvegarder leurs chats peuvent encore être suivis par un certain nombre d'astuces - de l'accès aux sauvegardes de leurs contacts aux changements invisibles de clés de cryptage [12]. Les métadonnées générées par les utilisateurs de WhatsApp - journaux décrivant qui discute avec qui et quand - sont divulguées en grand nombre à toutes sortes d'agences par la société mère de WhatsApp [13]. En plus de cela, vous avez un mélange de vulnérabilités critiques qui se succèdent les unes aux autres. 

WhatsApp a une histoire cohérente - du chiffrement zéro à sa création à une succession de problèmes de sécurité étrangement propices à des fins de surveillance. Rétrospectivement, il n'y a pas eu un seul jour au cours des 10 années d'existence de WhatsApp où ce service était sécurisé. C'est pourquoi je ne pense pas que le simple fait de mettre à jour l'application mobile de WhatsApp la rendra sécurisée pour tout le monde. Pour que WhatsApp devienne un service axé sur la protection de la vie privée, il doit prendre le risque de perdre des marchés entiers et de se heurter aux autorités de leur pays d'origine. Ils ne semblent pas prêts pour cela [14].

L'année dernière, les fondateurs de WhatsApp ont quitté l'entreprise pour des raisons liés à la protection de la vie privée des utilisateurs [15]. Ils sont clairement tenu au secret soit par des "Gag Orders" ou des accords de non-divulgation, et ne peuvent donc pas discuter en public sans risquer de perdre leur fortune et leur liberté. Ils ont cependant pu admettre qu'ils "vendaient la vie privée de leurs utilisateurs" [16]. 

Je peux comprendre la réticence des fondateurs de WhatsApp à fournir plus de détails - il n'est pas facile de mettre votre confort en danger. Il y a plusieurs années, j'ai dû quitter mon pays après avoir refusé de me conformer aux atteintes à la vie privée des utilisateurs de VK par le gouvernement [17]. Ce n'était pas agréable. Mais est-ce que je le referais ? Avec joie. Chacun d'entre nous va mourir un jour ou l'autre, mais nous, en tant qu'espèce, nous allons demeurer dans les parages pendant un certain temps. C'est pourquoi je pense que l'accumulation d'argent, de gloire ou de pouvoir n'a aucune importance. Servir l'humanité est la seule chose qui compte vraiment à long terme. 

Et pourtant, malgré nos intentions, j'ai l'impression que nous avons laissé tomber l'humain dans toute cette histoire de spyware WhatsApp. Beaucoup de gens ne peuvent pas s'arrêter d'utiliser WhatsApp, parce que leurs amis et leur famille sont toujours dessus. Cela signifie qu'à Telegram, nous n'avons pas réussi à persuader les gens de passer d'un système à l'autre. Bien que nous ayons attiré des centaines de millions d'utilisateurs au cours des cinq dernières années, ce n'était pas suffisant. La majorité des internautes sont toujours pris en otage par l'empire Facebook/WhatsApp/Instagram. Beaucoup de ceux qui utilisent Telegram sont aussi sur WhatsApp, ce qui signifie que leurs téléphones sont encore vulnérables. Même ceux qui ont complètement abandonné WhatsApp utilisent probablement Facebook ou Instagram, qui pensent tous les deux qu'il est acceptable de stocker vos mots de passe en clair [18] [19] (je ne peux toujours pas croire qu'une société de technologie puisse faire quelque chose comme ça et s'en tirer).

En presque 6 ans d'existence, Telegram n'a pas eu de fuite de données majeure ou de faille de sécurité comme WhatsApp le démontre tous les quelques mois. Au cours des six mêmes années, nous avons divulgué exactement zéro octet de données à des tiers, alors que Facebook/WhatsApp a partagé à peu près tout avec tous ceux qui prétendaient travailler pour un gouvernement [13].

Peu de gens en dehors de la communauté des fans de Telegram se rendent compte que la plupart des nouvelles fonctionnalités de messagerie apparaissent d'abord sur Telegram, et sont ensuite en copies carbone sur WhatsApp jusque dans les plus petits détails. Plus récemment, nous avons assisté à la tentative de Facebook d'emprunter toute la philosophie de Telegram, avec Zuckerberg déclarant soudainement l'importance de la vie privée et de la vitesse, citant pratiquement mot à mot la description de l'application Telegram dans son discours F8. 

Mais se plaindre de l'hypocrisie et du manque de créativité de FB ne servira à rien. Nous devons admettre que Facebook exécute une stratégie efficace. Regardez ce qu'ils ont fait à Snapchat [20]. 

Chez Telegram, nous devons reconnaître notre responsabilité dans la formation de l'avenir. C'est nous ou le monopole de Facebook. C'est soit la liberté et la vie privée, soit la cupidité et l'hypocrisie. Notre équipe est en compétition avec Facebook depuis 13 ans. Nous les avons déjà battus une fois, sur le marché des réseaux sociaux d'Europe de l'Est [21]. Nous les battrons à nouveau sur le marché mondial de la messagerie. Nous devons le faire. 

Ce ne sera pas facile. Le département marketing de Facebook est énorme. Alors que nous, à Telegram, nous ne faisons aucun marketing. Nous ne voulons pas payer des journalistes et des chercheurs pour parler au monde entier de Telegram. Pour cela, nous comptons sur vous - nos millions d'utilisateurs. Si vous aimez assez Telegram, vous en parlerez à vos amis. Et si chaque utilisateur de Telegram persuadait 3 de ses amis de supprimer WhatsApp et de passer de façon permanente à Telegram, Telegram serait déjà plus populaire que WhatsApp. 

L'ère de la cupidité et de l'hypocrisie prendra fin. Une ère de liberté et de vie privée va commencer. C'est beaucoup plus proche qu'il n'y paraît.


Références

[1] Business Insider WhatsApp was hacked and attackers installed spyware on people’s phonesMay 15, 2019

[2] Security Today WhatsApp Bug Allowed Hackers to Hijack AccountsOctober 12, 2018

[3] Wikipedia Gag order – United States

[4] Neowin FBI asked Durov and developer for Telegram backdoor – September 19, 0271

[5] The Baffler The Crypto-Keepers – September 17, 2017

[6] New York Times What Is Telegram, and Why Are Iran and Russia Trying to Ban It? – May 2, 2018

[7] YourDailyMac Whatsapp leaks usernames, telephone numbers and messages – May 19, 2011

[8] The H Security Sniffer tool displays other people's WhatsApp messages – May 13, 2012

[9] FilePerms WhatsApp is broken, really broken – September 12, 2012

[10] International Business Times Respect for Privacy Is Coded Into WhatsApp's DNA: Founder Jan Koum – March 18, 2014

[11] Slate How Did the FBI Access Paul Manafort’s Encrypted Messages? – June 5, 2018

[12] AppleInsider WhatsApp backdoor defeats end-to-end encryption, potentially allows Facebook to read messages – January 13, 2017

[13] Forbes Forget About Backdoors, This Is The Data WhatsApp Actually Hands To Cops – January 22, 2017

[14] New York Times Facebook Said to Create Censorship Tool to Get Back Into China – November 22, 2016

[15] The Verge WhatsApp co-founder Jan Koum is leaving Facebook after clashing over data privacy – April 30, 2018

[16] CNET WhatsApp co-founder: 'I sold my users' privacy' with Facebook acquisition – September 25, 2018

[17] New York Times Once celebrated in Russia, programmer Pavel Durov chooses exile – December 2, 2014

[18] TechCrunch Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext – March 21, 2019

[19] Engadget Facebook stored millions of Instagram passwords in plain text – 18 April, 2019

[20] Vanity Fair Snapchat is doing so badly, the feds are getting involved – November 14, 2018

[21] HuffPost Vkontakte, Facebook Competitor In Russia, Dominates – October 26, 2012