WhatsApp chiffre le contenu mais pas les métadonnées

Depuis mardi, si vous utilisez la dernière version de l’application WhatsApp, vous avez dû voir apparaitre dans les conversations et groupes un message sur fond jaune vous indiquant que les messages envoyés et reçus sont désormais chiffrés de bout en bout.

Le chiffrement de bout en bout assure qu’aucun tiers non autorisé ne puisse lire le contenu d’un message ou d’un échange. En d’autres termes, le contenu est chiffré sur l’appareil émetteur, et déchiffré sur l’appareil récepteur (ou les appareils récepteurs). Aucun intermédiaire n’est censé pouvoir accéder à ce contenu.

En ce qui concerne WhatsApp, il y a deux bémols de taille à ce “nouveau” chiffrement.

  1. Le chiffrement de bout en bout ne fonctionne qu’entre utilisateurs ayant la toute dernière version de l’application. Cela signifie par exemple que dans un groupe de 50 personnes, il suffit qu’une seule n’ait pas fait cette mise à jour, ou ne puisse pas la faire, pour que le chiffrement de bout en bout ne fonctionne pas.
  2. WhatsApp chiffre le contenu de vos messages, mais pas les métadonnées qui intéressent tout particulièrement les services de renseignement du monde entier, mais pas qu’eux. C’est ce qui ressort de la politique de protection des données.

WhatsApp collecte et conserve les numéros de téléphone (qui constituent nos identifiants) impliqués dans une conversation, la date et l’heure des messages, etc. Ces données constituent les fameuses métadonnées.

Contrairement à ce que vous pensez, les métadonnées sont tout aussi personnelles que le contenu du message qu’elles accompagnent. Savoir avec qui vous correspondez, quand, où, etc. permet d’en apprendre énormément à votre sujet. Grâce au nombre de messages échangés, de contacts, à la temporalité des échanges, on peut identifier des cercles de relations comme la famille, le travail, l’école, l’université. Grâce à la date de création des messages, on peut déterminer la date d’une rencontre, celle du début d’une nouvelle activité professionnelle, les lieux où l’on a travaillé, étudié, vécu, et combien de temps.

/images/Immersion_FC_Gmail.png
Résultat d'Immersion sur mon compte Gmail, en neuf ans d'activité mais avec beaucoup de précautions, comme on peut le voir.

Pour vous en convaincre, essayez Immersion, un outil qui se connecte à votre messagerie Google, Yahoo ou Microsoft Exchange. Vous pouvez aussi consulter votre historique Google.

En Suisse aussi de nombreux acteurs collectent ces métadonnées, avec votre “accord” ou parce que la loi les y oblige, comme la LSCPT (cf. art. 15). C’est ce qu’avait confirmé Swisscom dans l’enquête sur le droit d’accès que j’ai lancée avec la RTS.