Arrêtez d’utiliser Whatsapp, Telegram… et Signal ?

Même avec le chiffrement de bout en bout, Big Brother vous tient : les metadata (métadonnées).

Les protocoles de chiffrement

Tout d’abord, le protocole de Signal est utilisé dans Whatsapp, Facebook Messenger, Google Allo et l’application Signal bien sûr.
Le chiffrement de bout en bout permet l’utilisation de messages protégés. Seuls l’émetteur et le destinataire peuvent lire le contenu.
Ce protocole a été créé par Open Whisper System, un groupe à but non lucratif fondé en 2013 par l’ancien responsable de la sécurité de Twitter.
Le business model de Signal repose sur des dons et des subventions. En octobre 2016, des chercheurs en sécurité ont audité le code de Signal et leurs retours furent excellents.
Du coup, est-on tranquille en discutant avec ces applications utilisant le protocole de Signal ? Eh bien, non.

Déjà, Facebook Messenger et Google Allo n’activent pas le chiffrement de bout en bout par défaut.

Quant à Telegram, elle utilise son propre protocole : MTProto. Ce dernier a donné lieu de pas mal de controverses, notamment lors de la publication d’un chercheur détaillant une faiblesse théorique dans MTProto et concluant sur le fait que Telegram ne devrait pas déployer son propre chiffrement.

Bon, alors il nous reste Whatsapp et Signal. Les seules applications qui utilisent le protocole Signal par défaut. Whatsapp pourrait être un « bon choix » sauf qu’elle collecte des metadata…

 

Les collectes des données et les metadata, ou comment savoir si une société prend ses utilisateurs pour des pigeons…

Régulièrement, on peut entendre ou lire cette déclaration : « Nous ne pouvons ni écouter ni lire le contenu de vos communications car elles passent par un chiffrement de bout en bout, on peut seulement collecter les metadata« .
Les metadata, on peut les représenter ainsi :

Autrement dit, elles permettent d’en apprendre bien plus que ce que certains veulent faire croire. Ci-dessous, un extrait de cet article qui expliquent pourquoi les metadata sont importantes :

Ils savent que vous avez utilisé le téléphone rose à 2h24 du matin et parlé 18 minutes. Mais ils ne savent pas à quoi vous parliez.
Ils savent que vous avez appelé la hotline de S.O.S. détresse depuis le pont du Diable. Mais le contenu de la conversation restée secrète.
Ils savent que vous avez appelé un service de dépistage du VIH, puis votre docteur, puis votre compagnie d’assurance en moins d’1 heure. Mais ils ne savent ce que vous avez dit.

Voilà ce que sont les metadata.

 

Voyons maintenant ce que ces grandes sociétés déclarent collecter sur ses utilisateurs.

• Whatsapp explique qu’elle a accès à tous les numéros de téléphone de votre carnet de contacts et elle collecte une myriade d’informations sur vous.
Chose intéressante, Whatsapp ne stocke pas vos messages sur leurs serveurs. À la place, vos messages sont stockés sur votre téléphone, puis sur des serveurs de sauvegarde (exemple : iCloud si vous avez un iPhone).
Whatsapp affirme que cette collecte permet d’améliorer leurs services (plantages, diagnostics, performances…). Elle collecte également des informations propres à l’appareil utilisé : modèle du téléphone, système d’exploitation, informations sur votre navigateur web, adresse IP, réseau mobile (dont votre numéro de téléphone).
Si, par malchance, Whatsapp ne peut pas collecter d’informations via votre téléphone, elle les obtiendra grâce aux personnes avec lesquelles vous discuter. Ah oui, Whatsapp a accès aux données d’activité de vos amis.

Cerise sur le gâteau qui n’étonnera personne, Whatsapp échange des informations avec Facebook, depuis leur rachat en 2014.

• Parlons de Facebook pendant qu’on y est 🙂
Le centre de technologie du MIT a défini Facebook comme la société pratiquant la pire collecte de données faite à ce jour sur le comportement humain.
Facebook est votre ami alors il a le droit de faire tout ceci.

Google Allo, quant à lui, a été largement critiqué par les experts en sécurité.
Bah oui, Google peut rimer avec sécurité, mais pas avec vie privée. Google lit tous vos messages et stocke toutes vos conversations. Des questions ?

Telegram, on a déjà parlé de leur protocole douteux. Mais mettons cela de côté.
Telegram stocke sur ses serveurs les messages, photos, vidéos et documents de façon chiffrée (sauf pour les chats secrets où là rien n’est stocké). Tout comme Whatsapp et Facebook, Telegram accède à la liste de vos contacts et stocke ces informations sur ses serveurs.
C’est comme ça que vous recevez une notification quand l’un de vos contacts rejoint Telegram. Pratique, non ?

• La seule donnée que Signal conserve, c’est le numéro de téléphone utilisé lors de la création du compte et lors de la dernière connexion à leur serveur. C’est tout.
Signal n’enregistre pas l’heure, la minute ou la seconde. Seulement le jour.
De plus, le code de Signal est open source et disponible sur Github.

Si vous croyez n’avoir rien à cacher, prenez le temps d’une vraie réflexion.

Voilà pour la 1re partie. J’aurais pu reprendre ces informations et m’arrêter là.
Il est nécessaire de creuser un peu plus avant de confier ses données à une tierce entité alors on reprend les festivités dans un prochain article. 🙂

Génération mobiles

A propos Primokorn 49 Articles
Après l'informatique en général, je me suis intéressé aux OS mobiles il y a plusieurs années et plus particulièrement à Android. Beaucoup de lectures et de pratiques me donnent envie de partager toutes ces informations, avec un penchant pour la personnalisation, le logiciel libre, la sécurité et la vie privée. #libriste

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.