Oui, vous pouvez arrêter d’utiliser WhatsApp, mais ne faites pas cette erreur !

Le récent désastre de WhatsApp en matière de relations publiques a vu des dizaines de millions de personnes affluer vers d’autres plateformes. Des millions d’autres envisagent maintenant de faire de même, après un retour de bâton concernant le partage de données avec Facebook. Mais attention : toutes les messageries ne sont pas les mêmes et vous pourriez prendre un risque plus « dangereux » que vous ne le pensez. Alors, que faire ?

 

« Utiliser WhatsApp est dangereux », a mis en garde Pavel Durov, fondateur de Telegram, en janvier dernier, en citant les cyber-attaques contre WhatsApp fonctionnant sur des téléphones appartenant à des cibles clés, dont Jeff Bezos. Un an plus tard, Pavel Durov célèbre « la plus grande migration numérique de l’histoire de l’humanité », écrivant que « la première semaine de janvier, Telegram a dépassé les 500 millions d’utilisateurs actifs mensuels – 25 millions de nouveaux utilisateurs ont rejoint Telegram au cours des 72 dernières heures seulement ».

Dans son avertissement, Pavel Durov a cité une vulnérabilité de WhatsApp dans son traitement des fichiers vidéo ainsi que des attaques présumées de l’État-nation comme celle visant les Bezos. Pavel Durov a déclaré que « les portes dérobées sont généralement camouflées comme des failles de sécurité ‘accidentelles’ – rien que l’année dernière, 12 failles de ce type ont été découvertes dans WhatsApp ». Pavel Durov a également souligné (à juste titre) les risques encourus par les utilisateurs qui sauvegardent l’historique de leurs discussions dans des clouds publics et a remis en question la sécurité légendaire de WhatsApp. « Comment peut-on être sûr que le cryptage que WhatsApp prétend utiliser est bien celui qui est implémenté dans ses applications ? ».

WhatsApp se bat maintenant pour réparer la blessure qu’elle s’est elle-même infligée en changeant ses conditions de service juste après que les labels de confidentialité d’Apple ont exposé sa vaste collection de données. Ce fut un cauchemar de relations publiques pour la société. Et bien qu’elle ait fait marche arrière sur l’ultimatum du 8 février, il n’y a pas encore de contrition sur l’étendue de la collecte de données elle-même. On ne peut s’empêcher de penser que WhatsApp devra en faire plus, car ses concurrents accueillent suffisamment d’utilisateurs fuyant WhatsApp pour pousser leurs back-ends à la limite.

Les deux concurrents de WhatsApp qui ont le plus profité de sa chute sont Signal et Telegram. Mais ils sont très différents l’un de l’autre, et le débat WhatsApp versus Telegram versus Signal a montré à quel point la plupart des utilisateurs ne sont pas conscients de ces différences critiques. Pire encore, de nombreux articles expliquant les problèmes de WhatsApp et les alternatives ne dissipent pas cette confusion. Cela vous met en danger.

 

Telegram offre une fonctionnalité comme les chaînes, qui sont des flux publics.

Cela fait de Telegram une alternative à Twitter plus que Signal.

 

L’afflux de nouveaux utilisateurs de Telegram est peut-être l’aspect le plus intéressant de l’exode de WhatsApp. Soyons très clairs : si Signal est un sosie plus sécurisé de WhatsApp, Telegram n’en est pas un. C’est une plateforme complètement différente, conçue pour un objectif complètement différent. Et bien que Pavel Durov dise « Je considère que les chats secrets de Telegram sont beaucoup plus sécurisés que tout autre moyen de communication concurrent », le fait est que Telegram n’est pas crypté de bout en bout par défaut, et ces conversations secrètes fonctionnent entre deux appareils seulement – elles ne s’étendent pas aux groupes, et doivent être sélectionnées manuellement.

Telegram a été décrit comme étant à la fois un média social et une messagerie. Il s’agit d’une plateforme basée sur le cloud qui a été conçue pour transmettre des messages « de manière transparente sur n’importe quel numéro de téléphone, tablette ou ordinateur ». Le premier cas d’utilisation de Telegram a soutenu des dissidents et des groupes de protestation. En hébergeant des messages hors de portée de l’État, n’importe quel appareil pouvait être utilisé pour accéder au dépôt. Et si vos données peuvent être hors de portée des autorités, elles sont techniquement accessibles par Telegram et ses employés.

Telegram exploite d’énormes groupes et chaînes, en tant que tel, il héberge du contenu de la même manière que Facebook et Twitter, transmis aux membres abonnés. Cette fonctionnalité a entaché la réputation de Telegram en raison de l’utilisation présumée de la plateforme par des criminels, des terroristes et des groupes haineux.

« Les applications de chat qui offrent des fonctionnalités au-delà de la messagerie compromettent souvent la vie privée au profit de fonctionnalités supplémentaires », avertit le chercheur en sécurité Tommy Mysk. « Telegram offre une fonctionnalité comme les chaînes, qui sont des flux publics. Cela fait de Telegram une alternative à Twitter plus que Signal. Telegram mêle des méthodes de messagerie cryptées de bout en bout à d’autres, comme les chats et les canaux normaux, qui ne le sont pas. Un profane ne fera pas la différence et pourrait finir par opter pour une fonctionnalité moins sécurisée ».

Facebook a toujours été le talon d’Achille de WhatsApp, et cela représente un risque depuis 2014.

 

À l’exception de ses chats secrets limités, Telegram ne crypte pas les messages de vous à vos contacts, mais il crypte les messages entre votre appareil et son cloud, et de nouveau entre son cloud et vos contacts. Vous pouvez utiliser plusieurs appareils pour accéder à votre dépôt de messages dans le cloud, et Telegram détient les clés de tout ce cryptage.

En revanche, Signal et WhatsApp chiffrent tous deux de bout en bout par défaut. Et bien que Pavel Durov ait raison, WhatsApp ne rend pas son cryptage open-source, il est basé sur le propre protocole de Signal, qui est entièrement open-source. Il n’y a jamais eu d’allégations crédibles de vulnérabilités dans ce transport de messages cryptés lui-même, seulement avec des points d’extrémité compromis – c’est-à-dire en frappant les téléphones avec des logiciels malveillants.

« Lorsque vous ajoutez des capacités au niveau de l’État-nation et la possibilité d’attaquer les terminaux », déclare Ian Thornton-Trump, responsable de la sécurité des systèmes d’information de Cyjax, « tous les paris sont ouverts et la conversation (au moins une partie de celle-ci) est aussi vulnérable que si elle n’était que du texte en clair ».

Mais il s’avère que si les prétendues attaques de logiciels espions israéliens et diverses vulnérabilités techniques n’ont pas réussi à ébranler la confiance de la vaste base d’utilisateurs de WhatsApp, la combinaison des labels de confidentialité d’Apple et d’une modification de ses conditions de service, mal interprétée (« WhatsApp partage vos données avec Facebook »), a provoqué une réaction brutale. Facebook a toujours été le talon d’Achille de WhatsApp, et cela représente un risque depuis 2014.

Les utilisateurs ont des raisons légitimes de vouloir passer de WhatsApp à d’autres alternatives : la plateforme collecte trop de données, elle partage une partie de ces données avec Facebook, elle développe des offres commerciales sans pouvoir offrir des fonctionnalités multi-dispositifs et des sauvegardes entièrement sécurisées dans le cloud. Et, surtout, en raison de l’intégration prévue avec Facebook Messenger et Instagram.

Mais la seule raison de ne pas quitter WhatsApp est liée à des préoccupations concernant la sécurité de ses messages. WhatsApp s’attribue le mérite d’avoir universalisé l’accès au cryptage de bout en bout, et bien que toute plateforme de cette envergure soit sujette à des attaques sophistiquées de la part des États-nations – il suffit de regarder Apple, le cryptage de bout en bout de WhatsApp est parfait. L’ironie est que les millions de personnes qui passeront de WhatsApp à Telegram seront moins sécurisées en le faisant – ce n’est pas une question d’opinion, c’est parce que l’application ne dispose pas d’un cryptage de bout en bout par défaut.

Ne me croyez pas sur parole – regardons ce que dit l’application Telegram elle-même. « Dois-je faire confiance à Telegram pour que ce soit sécurisé ? » demande la plateforme dans sa propre FAQ. « Quand il s’agit de discussions secrètes, vous n’en avez pas besoin », dit-elle. Et à la question, « pourquoi ne pas simplement rendre tous les chats ‘secrets’ ? », Telegram fait valoir qu’elle a trouvé un équilibre entre la sécurité, la vitesse et l’accès à plusieurs appareils, ainsi que la restauration des messages en cas de perte du téléphone. Elle a fait un compromis avec « les messages des chats secrets utilisant un cryptage client-client tandis que les chats dans le cloud utilisent un cryptage client-serveur/serveur-client et sont stockés cryptés dans le cloud de Telegram ».

Telegram a raison : si les utilisateurs choisissent d’utiliser le cloud public de WhatsApp (sauvegardes Apple ou Google), ils perdent la protection de sa sécurité de bout en bout. Mais avec WhatsApp, vous pouvez échanger le risque de perte d’appareil contre la compromission de la sécurité des messages. Avec Telegram, vous n’avez pas à faire ce choix, sauf si vous vous en tenez à des discussions secrètes.

Comme la plupart de vos messages Telegram ne sont pas cryptés de bout en bout, vous vous fiez à la sécurité et aux politiques internes de Telegram. « Pour protéger les données qui ne sont pas couvertes par un cryptage de bout en bout », il est dit que « Telegram utilise une infrastructure distribuée. Les données de chat dans le cloud sont stockées dans plusieurs centres de données à travers le monde qui sont contrôlés par différentes entités juridiques réparties dans différentes juridictions. Les clés de décryptage pertinentes sont divisées en plusieurs parties et ne sont jamais conservées au même endroit que les données qu’elles protègent ».

Gardez à l’esprit l’origine de Telegram – il s’agit de ne pas divulguer les données aux autorités. En raison de cette structure, « plusieurs ordonnances de tribunaux de différentes juridictions sont nécessaires pour nous obliger à renoncer à toute donnée… Nous pouvons garantir qu’aucun gouvernement ou bloc de pays partageant les mêmes idées ne puisse s’immiscer dans la vie privée et la liberté d’expression des gens. Telegram ne peut être contraint de renoncer à des données que si un problème est suffisamment grave et universel pour passer au crible plusieurs systèmes juridiques différents dans le monde ». Tout cela, dit-il, signifie que « nous avons divulgué 0 octet de données d’utilisateurs à des tiers, y compris des gouvernements ».

Mais Tommy Mysk avertit que « Telegram se distingue de Signal et même de WhatsApp par la façon dont il demande constamment l’accès aux contacts. Telegram rend peu pratique l’utilisation de l’application sans accorder l’accès aux contacts. De plus, l’application offre à ses utilisateurs la possibilité de se connecter sans échanger de numéros de téléphone. Cependant, lors de l’ajout d’un nouveau contact par nom d’utilisateur, l’option de partager le numéro de téléphone de l’utilisateur avec le nouveau contact est activée par défaut ».

En tant qu’utilisateur de Telegram, si vous voulez obtenir la sécurité de messagerie réelle utilisée par WhatsApp, vous devez vous en tenir à ces chats secrets. Mais contrairement à WhatsApp, Signal et iMessage, entre autres, ces discussions secrètes ne peuvent pas inclure de groupes. Avec les chats secrets, Telegram affirme que « toutes les données sont cryptées avec une clé que seuls vous et le destinataire connaissez – il n’y a aucun moyen pour nous ou pour toute autre personne n’ayant pas un accès direct à votre appareil de savoir quel est le contenu envoyé dans ces messages… Les chats secrets ne font pas partie du cloud de Telegram et ne sont accessibles que sur leur appareil d’origine ».

Cela peut sembler familier aux utilisateurs de WhatsApp, qui déclare : « le cryptage de bout en bout garantit que seuls vous et votre interlocuteur pouvez lire ou écouter ce qui est envoyé, et personne entre les deux, pas même WhatsApp. En effet, avec le cryptage de bout en bout, vos messages sont sécurisés par un verrou, et seuls le destinataire et vous-même disposez de la clé spéciale nécessaire pour les déverrouiller et les lire. Tout cela se passe automatiquement : il n’est pas nécessaire d’activer des paramètres spéciaux pour sécuriser vos messages ».

Telegram n’est pas une plateforme à haut risque. Mais ce n’est pas l’avancée de WhatsApp, en matière de sécurité, qu’elle revendique. En réalité, les deux plateformes ont des problèmes – bien que différents – et sont raisonnablement sécurisées. Passer de l’une à l’autre n’a pas beaucoup de sens.

Si vous voulez quitter WhatsApp pour des raisons de sécurité et de confidentialité, vous devriez passer à Signal, et non à Telegram. Signal est le sosie le plus proche de WhatsApp. L’application ne relie aucune donnée à ses utilisateurs – bien qu’elle utilise votre numéro de téléphone pour identifier votre compte.

 

Mais qu’en est-il des autres plateformes de messagerie – comment s’y retrouver ?

L’architecture de messagerie la plus sophistiquée est celle d’Apple. iMessage repose sur des astuces, permettant aux utilisateurs de gérer un dépôt central de messages iCloud qui se synchronise sur tous les appareils Apple de confiance, sans jamais perdre le cryptage de bout en bout. Dans le langage de Telegram, c’est le meilleur des deux mondes. Pour cela, vous devez avoir « Messages dans iCloud activés ». Il y a cependant une mise en garde. Si vous avez également activé les sauvegardes iCloud, une copie de votre clé de cryptage de bout en bout sera incluse.

Le principal problème de iMessage, bien sûr, est qu’il ne fonctionne pas sur plusieurs plateformes. Ainsi, bien qu’il s’agisse de l’option de messagerie la plus intelligente pour les utilisateurs d’Apple, elle ne peut pas être la messagerie de référence sur votre appareil. La solution de repli lorsque vous envoyez des messages à des utilisateurs n’appartenant pas à Apple est le SMS, mais le SMS est un spectacle d’horreur de sécurité.

Android Messages n’est pas une bonne alternative à WhatsApp. Il s’agit essentiellement d’un client SMS qui a maintenant évolué vers RCS pour ajouter les fonctionnalités de chat disponibles dans WhatsApp et iMessage. Il n’est pas crypté de bout en bout pour le moment, bien que Google ait cette mise à jour en bêta. Mais pour l’instant, il ne fonctionne que pour la messagerie 1:1, un peu comme Telegram, ne s’étend pas aux groupes et nécessite les deux côtés d’un chat sur l’application bêta.

Facebook Messenger est encore moins envisageable. Il offre une option de chat « secret » 1:1 similaire à celle de Telegram, qui est cryptée de bout en bout, mais tout le reste n’a pas ce niveau de sécurité. Il est également doté d’une politique de protection de la vie privée déplorable : Facebook recueille une vaste gamme de métadonnées et la plateforme admet la surveillance du contenu, y compris des liens vers des fichiers et des pièces jointes. Le meilleur conseil aux utilisateurs de Facebook Messenger est de changer de messagerie.

D’autres options moins connues sont désormais disponibles, notamment Viber, qui ajoute une messagerie cryptée de bout en bout à sa plateforme VoIP, et Wickr, qui est mieux décrit comme une version entreprise de Signal, conçue pour une utilisation en entreprise. Il y a aussi la société suisse Threema, qui est devenue la favorite des personnes très soucieuses de la sécurité. Cette plateforme est encore plus sécurisée que Signal : elle n’utilise pas les numéros de téléphone comme identifiants et peut donc garder les comptes totalement anonymes. Sa base d’utilisateurs est cependant beaucoup plus restreinte, de sorte que vous ne trouverez probablement pas beaucoup de vos contacts (s’il y en a) à bord.

J’ai demandé à Flavio Aggio, responsable de la sécurité des systèmes d’information de l’Organisation mondiale de la santé, quelle messagerie il recommanderait. Il n’en a pas recommandé une seule, mais il a mentionné Signal, Threema et Telegram comme étant de bonnes options. J’ai eu l’impression qu’il serait ravi de recevoir Threema si on le lui demandait – le fait qu’elle puisse être utilisée sans numéro de téléphone est un atout majeur.

Si vous changez de messagerie, vous pouvez utiliser n’importe laquelle des alternatives cryptées de bout en bout que j’ai mentionnées. Telegram peut vous convenir également, mais assurez-vous de bien comprendre les différences et les risques ; vous vous engagerez à stocker la plupart de vos contenus dans le cloud de Telegram, et cela ne sera pas le cas pour tout le monde. La plupart des nouveaux utilisateurs n’en sont pas conscients et supposent qu’il s’agit d’une version plus sécurisée de WhatsApp. Ce n’est tout simplement pas le cas.

Pour Jake Moore de l’ESET, « Signal semble gagner la course contre Telegram », en se basant sur les contacts qu’il voit bouger. « Je pense que cela peut continuer en raison de son offre de cryptage de bout en bout par défaut », dit-il, « un must pour tout service de messagerie à mon avis. La migration des gens vers des applications axées sur la protection de la vie privée ne se fait pas du jour au lendemain. Cependant, WhatsApp a été disponible pendant des années avant de devenir la première plateforme de messagerie ».

Ce dilemme de la désinformation a été parfaitement illustré par l’un des nombreux mails que j’ai reçus cette semaine de la part de plateformes de messagerie cherchant à faire de la publicité pour leurs produits. « Les applications de messagerie, comme Telegram et Signal, sont cryptées de bout en bout », indiquait le mail. « WhatsApp, bien que cryptée de bout en bout, présente un certain nombre de failles qui permettent de stocker ou de partager des conversations ».

Tout cela est dangereusement trompeur et montre le peu de chances qu’ont les utilisateurs quotidiens de repérer les informations erronées pour obtenir les faits. Signal et WhatsApp sont cryptés de bout en bout par défaut, Telegram ne l’est pas. Et bien que le déploiement de Signal soit entièrement open source et donc théoriquement plus sécurisé, il n’y a pas de « failles » dans WhatsApp, par lesquelles le mail signifiait des portes dérobées permettant à Facebook de surveiller le contenu.

Comme le souligne Philip Ingram, ancien officier de renseignement, « le débat sur le maintien de la sécurité avec différentes applications de messagerie après l’exode massif de WhatsApp souligne que beaucoup de personnes utilisant l’excuse de la vie privée semblent vouloir suivre les habitudes induites par le troupeau plutôt que de penser par eux-mêmes ». Sans surprise, Philip Ingram utilise Threema. « Une application de messagerie véritablement anonyme basée en Suisse », dit-il. « Je n’ai jamais regretté ».

 

Article traduit de Forbes US – Auteur : Zak Doffman

 

<<< À lire également : Brian Acton : Pourquoi il a vendu WhatsApp et renoncé à 850 millions de dollars >>>