Oui, WhatsApp est un moyen de communication sécurisé, mais uniquement si les sauvegardes sont désactivées.

Les messages échangés sur WhatsApp utilisent un chiffrement de bout-en-bout1, ce qui signifie que seuls les interlocuteurs ont la capacité de lire le contenu des messages, car ce sont les seuls à posséder les clés cryptographiques utilisées pour déchiffrer le contenu des messages.

Les messages sauvegardés dans un compte en ligne comme iCloud ou Google Drive ne sont, eux, pas chiffrés, mais enregistrés en clair, sans chiffrement. Cela veut dire que si les messages sont sauvegardés, Apple dans le cas d’iCloud, et Google dans le cas de Google Drive, ont la capacité de lire et d’enregistrer le contenu des messages, tout comme les organismes d’État américain, pays où les sociétés Apple et Google sont domiciliées.

Copie d’écran d’un iPhone avec l’option « Sauvegarde iCloud » désactivée
Les messages et iMessage sauvegardés vers iCloud ne sont pas chiffrées de bout-en-bout

Si vous souhaitez communiquer en toute confidentialité, vous devez donc désactiver la sauvegarde des messages dans les paramètres de WhatsApp et demander à votre interlocuteur d’en faire autant.

Il est aussi important de noter que l’application WhatsApp est la propriété de la société Facebook, dont le patron, Mark Zuckerberg, a déjà montré qu’il était capable du pire pour conserver son pouvoir de domination.

En utilisant WhatsApp, les utilisateurs acceptent que certaines informations, comme les numéros de téléphone, les informations du profil, les données de localisation ou le type d’appareil, remontent vers la société mère, Facebook, et soient utilisées par Facebook pour mieux profiler les internautes et pour monétiser au maximum son site du même nom.

D’autres applications plus respectueuses de leurs utilisateurs existent. C’est le cas, par exemple, de l’application Signal, qui utilise également un chiffrement de bout-en-bout2, qui a l’avantage d’être une fondation, plutôt qu’une entreprise commerciale, et qui rend public le code source de son application, contrairement à WhatsApp.

Note : Facebook, éditeur de l’application WhatsApp, a annoncé le 11/09/2021, qu’une fonctionnalité allait être ajoutée pour chiffrer le contenu des sauvegardes (source : fb.com). Cette mesure est certes une avancée, mais le code source de l’application WhatsApp n’étant pas public, il n’y a aucun moyen de vérifier si les détails de l’implémentation annoncés par Facebook sont réellement ceux utilisés. Les prochains procès seront un bon indicateur pour savoir si l’implémentation de Facebook permet, ou ne permet pas, à des tiers, notamment les autorités, d’accéder au contenu des messages. Dans l’immédiat, le mieux est de considérer ces sauvegardes comme non sécurisées.

Notes et références

  1. Facebook, éditeur de WhatsApp, indique publiquement utiliser un chiffrement de bout-en-bout, mais le code source de leurs applications n’est pas public. Il est donc nécessaire de les croire sur parole, même si nous n’avons pas raison d’en douter à ce jour.
  2. Signal est une application utilisant un chiffrement de bout-en-bout, comme je l’ai expliqué dans l’article « Pourquoi nous devrions tous utiliser l’application sécurisée Signal et arrêter d’utiliser WhatsApp, Telegram, Facebook Messenger et les SMS ».