Technologie : Les utilisateurs de WhatsApp auront bientôt la possibilité de conserver eux-mêmes une clé de chiffrement de leur sauvegarde, ou de la faire stocker dans ce que la messagerie présente comme un coffre-fort sécurisé.
Enfin ! WhatsApp a annoncé vendredi qu’elle proposera à ses utilisateurs des sauvegardes chiffrées de bout en bout dans le courant de l’année. Les utilisateurs auront le choix du mode de stockage de la clé de chiffrement utilisée.
Le plus simple est que les utilisateurs conservent eux-mêmes un enregistrement de la clé aléatoire à 64 chiffres, à l’instar de la façon dont Signal gère les sauvegardes, qu’ils devront saisir à nouveau pour restaurer une sauvegarde. L’alternative serait que la clé aléatoire soit stockée dans l’infrastructure de WhatsApp, surnommée « Backup Key Vault », basée sur un module de sécurité matérielle (HSM) et accessible par un mot de passe créé par l’utilisateur.
« Le mot de passe est inconnu de WhatsApp, des partenaires cloud de l’appareil mobile de l’utilisateur ou de tout autre tiers. La clé est stockée dans le HSM Backup Key Vault pour permettre à l’utilisateur de la récupérer en cas de perte ou de vol de l’appareil », explique la société dans un livre blanc. « Le HSM Backup Key Vault est chargé d’appliquer les tentatives de vérification du mot de passe et de rendre la clé définitivement inaccessible après un certain nombre de tentatives infructueuses d’accès. Ces mesures de sécurité permettent une protection contre les tentatives de récupération de la clé par force brute. »
Un chiffrement suffisant ?
A des fins de redondance, la direction de WhatsApp explique que la clé sera distribuée dans plusieurs centres de données fonctionnant selon un modèle de consensus. La messagerie instantanée assure en outre qu’elle saura seulement qu’une clé existe dans sa chambre forte, mais ne connaîtra pas la clé elle-même. Les sauvegardes stockeront le texte des messages, ainsi que les photos et les vidéos reçues, rapporte la direction de la messagerie instantanée détenue par Facebook.
« Les sauvegardes elles-mêmes sont générées sur le client en tant que fichiers de données, chiffrés en utilisant un chiffrement symétrique avec la clé générée localement », fait encore savoir la filiale du réseau social. « Une fois qu’une sauvegarde est chiffrée, elle est stockée dans le stockage tiers (par exemple iCloud ou Google Drive). Comme les sauvegardes sont chiffrées avec une clé inconnue de Google ou d’Apple, le fournisseur de cloud est incapable de les lire. »
Pour rappel, WhatsApp a retardé plus tôt cette année l’application d’une mise à jour obligatoire de ses conditions de confidentialité. A l’origine, la messagerie instantanée avait invité les utilisateurs à accepter ses nouvelles conditions de confidentialité avant le 8 février, sous peine de ne plus pouvoir utiliser l’application. Dans la formulation utilisée, WhatsApp indiquait que la politique changerait la façon dont elle s’associait avec Facebook pour « proposer des intégrations », et que les entreprises auraient pu utiliser les services de Facebook pour gérer les chats WhatsApp. Un projet finalement avorté en juin dernier.
WhatsApp dans le collimateur de Bruxelles
Plus récemment, la messagerie instantanée a été condamnée à une amende record de 225 millions d’euros par le régulateur irlandais des données, suite à des pressions exercées par l’UE pour que Dublin augmente ses pénalités pour les violations envers la protection de la vie privée de la société.
Cette décision fait suite à des plaintes enclenchées pour mettre en doute la conformité de la messagerie instantanée avec les règles de l’UE en matière de transparence sur les données en 2018. Si WhatsApp a fait appel de cette décision, la messagerie instantanée pourrait bien s’attirer les foudres d’autres juridictions européennes dans les mois à venir. Les régulateurs des données de huit autres pays européens ont déclenché un mécanisme de règlement des différends après la décision de l’Irlande, dont la sanction pourrait vite faire boule de neige sur le Vieux Continent.
« Ce qui est important maintenant, c’est que les nombreux autres cas ouverts sur WhatsApp en Irlande soient enfin décidés, afin que nous puissions faire des progrès plus rapides et plus longs vers l’application uniforme de la loi sur la protection des données en Europe », a fait savoir début septembre Ulrich Kelber, commissaire fédéral allemand à la protection des données et à la liberté d’information.
Source : ZDNet.com