Meta ment-il sur le chiffrement de WhatsApp ? L'État du Texas porte plainte

UNE PLAINTE EXPLOSIVE CONTRE META

Le procureur général du Texas a décidé de frapper fort : il a déposé une plainte contre Meta, l’entreprise derrière WhatsApp, utilisé par plus de 3 milliards de personnes. Selon les avocats du Texas, Meta aurait menti en affirmant que WhatsApp offrait un chiffrement de bout en bout (ou E2EE, pour end-to-end encryption). En réalité, l’entreprise pourrait lire le contenu non chiffré des messages de ses utilisateurs. La plainte vise à « empêcher WhatsApp et Meta de continuer à tromper délibérément les Texans en prétendant que leurs communications privées étaient bien privées et inaccessibles, même pour WhatsApp et Meta ».

En réponse, Meta a qualifié ces allégations de « sans fondement » et annoncé qu’elle comptait se battre en justice.

LA SEULE PREUVE ? UN ARTICLE DE BLOOMBERG

Pour justifier sa plainte, le Texas ne cite qu’un seul élément : un article publié le mois dernier par Bloomberg. Selon ce média, le Bureau de la sécurité industrielle du département américain du Commerce aurait brusquement clos une enquête sur des allégations selon lesquelles Meta pourrait accéder aux messages chiffrés de WhatsApp. Le déclic ? Un email envoyé le 16 janvier à plus d’une douzaine d’agents d’autres agences, dans lequel un enquêteur écrivait : « Il n’y a aucune limite au type de message WhatsApp que Meta peut consulter. Les manquements de Meta et de ses dirigeants, y compris des cadres actuels et passés, impliquent des violations civiles et pénales couvrant plusieurs juridictions fédérales. »

Problème : la plainte du Texas ne précise pas si le bureau du procureur a obtenu cet email ou recueilli des informations auprès des enquêteurs. Il se contente de citer l’article de Bloomberg comme preuve. La plainte mentionne aussi que des employés de Meta reçoivent des messages WhatsApp en clair, signalés par d’autres utilisateurs. Mais ces messages ne sont récupérés que sur l’appareil de la personne qui les signale, après avoir été déchiffrés avec les clés de déchiffrement disponibles uniquement sur son propre appareil.

LES EXPERTS EN CHIFFREMENT NE SONT PAS CONVAINCUS

Les techniciens et les experts en cryptographie soulignent rapidement le manque flagrant de preuves solides. Pour eux, une analyse approfondie du code de WhatsApp révélerait presque à coup sûr si l’application contournait le protocole Signal, qui est la référence en matière de chiffrement de bout en bout.

Une équipe de chercheurs a mené l’an dernier une analyse technique détaillée de WhatsApp et lui a donné un bon point : l’application fonctionne généralement de manière sécurisée et comme décrit par WhatsApp. Les chercheurs ont cependant identifié une faille de conception : un employé de Meta disposant d’un accès à l’infrastructure de l’entreprise pouvait ajouter de nouveaux membres à un groupe de discussion sans permission ni interaction des autres membres. Mais même dans ce cas, l’ajout était visible par tous les autres participants.

Benjamin Dowling, maître de conférences en cryptographie au King’s College de Londres et co-auteur de l’étude, a expliqué par email que son équipe avait analysé le protocole cryptographique de WhatsApp, c’est-à-dire le code qui le fait fonctionner. Résultat : aucune indication que le protocole se comportait différemment de ce que Meta décrivait. Dowling a précisé que cette analyse ne concernait que la version de WhatsApp disponible en mai 2023. Les résultats ne s’appliquaient donc pas nécessairement aux versions mises à jour depuis.

Il a ajouté que l’impossibilité d’accéder au code source de WhatsApp rendait toute évaluation définitive impossible. À l’exception du manque de transparence du code et de la faiblesse découverte dans les discussions de groupe, WhatsApp semblait tout de même offrir la même confidentialité que le protocole Signal.

AUCUNE PREUVE CONCRÈTE DE VIOLATION DU CHIFFREMENT

Trois autres experts en cryptographie interrogés partagent ces doutes. Kenny Paterson, chercheur à l’ETH Zurich, a déclaré : « La grande majorité de cette plainte du Texas ressemble à un jet de fumier généralisé contre Meta. Je ne suis pas fan des pratiques de collecte de données de Meta, mais c’est une diversion flagrante sur une affaire qui me semble construite sur une base de preuves très mince : essentiellement, un seul article de presse est cité pour soutenir l’accusation. »

Matthew Green, professeur à l’université Johns Hopkins, a renchéri : « Les clients WhatsApp sont tous disponibles pour une rétro-ingénierie. Pour qu’il y ait une faille de ce type, quelque chose de très grave devrait se passer à l’intérieur de cette application. »

Les représentants du bureau du procureur général du Texas n’ont pas répondu à un email demandant si leurs enquêteurs avaient obtenu des preuves définitives au-delà de l’article de presse.

UNE PLAINTE POLITIQUEMENT STRATÉGIQUE ?

Alors que Ken Paxton, le procureur général du Texas, approche de la fin de sa campagne pour les primaires du Sénat américain face à John Cornyn, certains observateurs y voient une manœuvre politique. L’objectif ? Montrer qu’il défend les intérêts des Texans. Pourtant, Meta a déjà un lourd passé en matière de protection des données et de collecte d’informations. Il y a donc de bonnes raisons de se méfier de WhatsApp. Mais à moins que de nouvelles preuves ne soient dévoilées, les allégations de la plainte déposée jeudi ne font pas partie de celles-là.

CE QU’IL FAUT RETENIR

Le Texas accuse Meta de tromperie sur le chiffrement de bout en bout de WhatsApp, mais la plainte repose sur une seule source médiatique et aucune preuve technique solide. Les experts en cryptographie, après avoir analysé le protocole de WhatsApp, n’ont trouvé aucune indication de violation du chiffrement. Une faille mineure a été identifiée, mais elle ne permet pas une lecture secrète des messages. Meta, de son côté, dément catégoriquement et compte se battre en justice. La transparence du code de WhatsApp reste un point d’ombre, mais pour l’instant, aucune preuve ne confirme les allégations du Texas.