La prétendue sécurité de WhatsApp serait fausse. Pire encore, les discussions supprimées, même privées, seraient sauvegardées localement et dans iCloud.
Sur son blog, le chercheur en sécurité Jonathan Zdziarski n’hésite pas à ouvertement affirmer que les promesses de WhatsApp sont fausses. Il cible particulièrement le slogan « La confidentialité et la sécurité font partie de notre ADN ».
Jonathan Zdziarski a décortiqué le fonctionnement de l’application WhatsApp pour iOS, ce qui lui a permis de découvrir deux immenses problèmes de sécurité. Le premier point concerne les données des discussions, mêmes des discussions privées, qui ne sont pas véritablement effacées en étant sauvegardées localement et dans iCloud. Le second est que tout n’est pas chiffré.
Les données supprimées dans WhatsApp… ne sont pas vraiment supprimées
Le chercheur en sécurité a tout d’abord découvert que WhatsApp pour iOS laisse les traces des logs des discussions en raison d’un dysfonctionnement de la bibliothèque SQLite, une librairie qui permet de faire fonctionner la base de données des contacts. « En fait, le seul moyen d’effacer vraiment vos chats est de supprimer totalement l’application », écrit laconiquement Jonathan Zdziarski.
Il souligne que toutes les applications qui utilisent SQLite rencontrent le même problème. Le souci provient du fait que SQLite ne nettoie pas les bases de données par défaut sous iOS.
Il rappelle également que la messagerie iMessage d’Apple « laisse beaucoup de traces récupérables légalement ». Le chercheur souligne, comparativement, que Signal est une messagerie instantanée centrée sur le respect de la vie privée et de la sécurité des données échangées.
Un chiffrement de bout en bout qui est une fausse affirmation
Sur son site, WhatsApp s’enorgueillit que son application de messagerie instantanée chiffre de bout en bout les communications établies au travers de son service. « Cela garantit que seuls vous et la personne avec qui vous communiquez pouvez lire ce qui est envoyé ». « Faux » rétorque Jonathan Zdziarski. D’après lui, seules les informations en transit sont cryptées.
De fait, localement sur les téléphones des utilisateurs, ces données ne sont pas protégées par du chiffrement. Malgré ce qu’affirme WhatsApp, cela signifie que n’importe qui, ayant un accès physiquement au terminal, peut les récupérer.
Pire, ces mêmes données sont stockées sous une forme non cryptée en ligne, dans iCloud. De fait, un tiers peut parfaitement y accéder au travers du système de sauvegarde, comme les autorités par exemple.
Alors que la communication de WhatsApp s’appuie sur son respect de la vie privée, ce qui lui a d’ailleurs valu plusieurs blocages par la justice brésilienne. Son image se retrouve donc passablement égratignée par ces révélations.