Une faille a ainsi été récemment mise au jour dans le processus d'échange des clés de chiffrement au coeur de la messagerie Whatsapp. Une attaque ciblée permettrait ainsi d'intercepter des messages avant qu'ils ne soient chiffrés indique Tobias Boelter, chercheur de l'Université de Californie qui a découvert la faille : "Si un gouvernement ordonne à WhatsApp d'avoir accès à des messages archivés, c'est possible grâce à ce changement de clé."

Il pointe du doigt la façon dont WhatsApp gère le changement de matériel de l'utilisateur. Lorsqu'un utilisateur change de téléphone, il se voit ainsi attribuer une nouvelle clé de chiffrement pour l'ensemble de ses messages. Lorsque ce dernier souhaite ensuite envoyer un message à un tiers, WhatsApp chiffre les messages, mais transmet également cette nouvelle clé pour que le destinataire soit en mesure de déchiffrer les conversations.

WhatsApp-Facebook

Cette faille de type "Man in the Middle" est courante dans les tentatives d'interception des données. WhatsApp mise sur un chiffrement développé par Open Whisper Systems reconnu à travers le monde pour sa fiabilité. L'éditeur dispose de sa propre messagerie sécurisée, Signal, qui n'est pas concerné par cette faille du fait d'un protocole différent.

Le Guardian, qui a mis l'affaire au jour accuse ainsi désormais Facebook d'avoir volontairement organisé la mise en place d'un protocole laissant une faille, une backdoor lui permettant éventuellement de se plier aux demandes gouvernementales. Face à ces accusations, Facebook indique avoir agi pour le bien de ses utilisateurs : " Ce cas de figure n'arrive généralement que quand un utilisateur a changé de téléphone, de carte SIM ou réinstallé WHatsApp. Nous voulons nous assurer que les messages arrivent effectivement à bon port et ne soient pas perdus."

WhatsApp dispose par ailleurs d'une option permettant de notifier l'utilisateur d'un changement de clé, une option désactivée par défaut.

La polémique se positionne désormais sur le fait que Facebook aurait sans doute dû activer l'option par défaut comme le fait la messagerie Signal.