Clé à emporter
- Les sauvegardes de WhatsApp sont désormais cryptées en toute sécurité, même dans iCloud et Google.
- Facebook stocke les clés dans un module matériel, mais les utilisateurs peuvent les stocker localement.
- Facebook en sait toujours beaucoup sur vos messages.
Ironiquement, WhatsApp de Facebook est peut-être désormais l'une des applications de messagerie les plus sécurisées.
WhatsApp va maintenant chiffrer vos sauvegardes, ainsi que le chiffrement de bout en bout existant qu'il utilise pour envoyer des messages. Cela signifie qu'il n'y a aucun moyen d'accéder à vos messages sans un accès physique à votre appareil.
Le cryptage s'applique aux sauvegardes stockées sur les serveurs d'Apple ou de Google, ce qui signifie que votre sauvegarde iCloud est sécurisée, par exemple, même si Apple est obligé de remettre vos sauvegardes autrement non cryptées à la police. Alors, cela fait-il de WhatsApp le service de messagerie le plus sûr ?
"Les discussions de WhatsApp et désormais les sauvegardes sont désormais entièrement sécurisées par des tiers, même lorsque ces sauvegardes se trouvent sur des serveurs Apple et Google", a déclaré Eric McGee, ingénieur réseau senior chez TRGDatacenters, à Lifewire par e-mail. "WhatsApp, contrairement à Apple, ne conserve pas la clé de cryptage, ce qui signifie qu'il ne peut pas être contraint de la donner à des tiers tels que les forces de l'ordre."
Coffre-fort virtuel
Les messages WhatsApp sont déjà cryptés de bout en bout; le message est chiffré sur votre appareil, envoyé et déchiffré par le destinataire. C'est comme envoyer un message codé - s'il est intercepté, personne ne peut le déchiffrer.
Maintenant, Facebook fait quelque chose de similaire pour vos sauvegardes. Les sauvegardes, elles-mêmes, sont cryptées et stockées dans votre sauvegarde Google ou Apple. Mais la clé pour les décrypter est stockée dans un "module de sécurité matériel" (HSM) - un appareil physique contrôlé par Facebook. Si vous avez besoin d'accéder à vos sauvegardes, vous pouvez déverrouiller la clé dans le HSM en saisissant un mot de passe sur votre téléphone.
Pourquoi ne pas simplement stocker la clé qui déverrouille votre sauvegarde sur votre téléphone ? Facebook dit que le HSM signifie que vous pouvez avoir un mot de passe simple et facile à retenir sur votre téléphone tout en ayant une clé complexe et difficile à déchiffrer dans le HSM. Cela signifie également que vous pouvez récupérer la clé et accéder à votre sauvegarde, même si votre appareil est perdu ou volé, tant que vous vous souvenez de votre mot de passe.
Dans un livre blanc associé, Facebook détaille la configuration. Les utilisateurs peuvent choisir d'utiliser une clé à 64 chiffres et de la stocker eux-mêmes. Dans ce cas, la clé n'est pas stockée dans le HSM de Facebook, donc si vous perdez la clé, vous perdez vos sauvegardes.
Facebook n'a aucun accès à vos messages. C'est super, mais ce n'est qu'une petite partie de l'histoire.
Machine de surveillance Facebook
Vos messages se composent de deux éléments: le contenu des messages et leurs métadonnées. Même si le premier est enfermé, le second reste précieux, et Facebook y a accès gratuitement. Les métadonnées indiquent à qui vous envoyez des messages, quand et où vous êtes lorsque vous les envoyez. De même, il montre qui lit ces messages et quand.
WhatsApp, contrairement à Apple, ne conserve pas la clé de cryptage, ce qui signifie qu'il ne peut être contraint de la donner à des tiers tels que les forces de l'ordre.
Toute personne ayant accès à ces métadonnées peut détecter des modèles. Par exemple, il est juste de supposer qu'une personne qui appelle un fournisseur de produits alimentaires, un serrurier, un imprimeur et un fournisseur d'équipements de cuisine est probablement en train d'installer un restaurant quelconque.
Et si vous pensez à l'appareil de surveillance de Facebook, qui est conçu pour démêler vos détails les plus intimes de votre graphe social, ces métadonnées sont aussi précieuses que le contenu de vos messages.
Les Alternatives
Les iMessages d'Apple sont également cryptés de bout en bout, mais pas les sauvegardes. Ou plutôt, ces sauvegardes sont cryptées, mais Apple détient la clé pour les déverrouiller, ce qui rend ce cryptage inutile. Ainsi, même si vous utilisez l'option de synchronisation Messages dans iCloud, tous les messages stockés sur votre appareil sont contenus dans des sauvegardes iCloud et sont donc accessibles par Apple.
Le seul moyen de contourner ce problème est de désactiver la sauvegarde iCloud et de sauvegarder à la place sur votre propre ordinateur.
Signal est probablement la plus sûre de toutes les plateformes de messagerie car elle n'enregistre aucune métadonnée. Au lieu de cela, il transmet des messages, puis oublie tout à leur sujet. « Les messages ne sont stockés que localement », indique la FAQ de Signal. "Une sauvegarde iTunes ou iCloud ne contient aucun de vos historiques de messages Signal."
De même, vos messages ne sont pas enregistrés dans vos sauvegardes, donc c'est sûr aussi.
Vous pouvez cependant transférer l'historique des messages de votre compte vers un nouvel appareil, mais cela se fait en transférant directement, et l'ancien appareil est désactivé.
En résumé, si vous voulez de la confidentialité, utilisez Signal. Mais si vous utilisez WhatsApp, profitez de ces nouvelles protections, mais n'oubliez pas que Facebook collecte toujours tout sauf le contenu de vos messages.
