Dans une enquête parue le 7 septembre, le média d’investigation ProPublica s’est replongé dans les données que WhatsApp peut collecter sur ses utilisateurs. Le journal s’appuie sur des documents confidentiels et des « douzaines d’interviews » avec d’anciens et actuels employés de WhatsApp.
L’entreprise ne se cache pas vraiment de collecter des données, mais elle a récemment été sanctionné d’une amende en Europe pour son manque de transparence. De leur côté, les utilisateurs ne sont pas toujours au courant des données qu’ils exposent, notamment car WhatsApp a construit une partie de son succès sur sa réputation de sécurité.
À l’instar de ses concurrents Signal et Telegram, l’application de messagerie protège les communications avec le chiffrement de bout en bout. Sans rentrer dans les détails techniques, cette protection rend les conversations inintelligibles sur tout autre appareil que ceux des deux interlocuteurs. Si un individu intercepte le message avant son arrivée à destination, il ne verra qu’une suite incohérente de caractères dont il ne pourra pas déchiffrer le sens.
Mais cette protection des messages ne signifie pas que l’application reste entièrement éloignée de la vie privée des utilisateurs.
WhatsApp collecte les messages signalés
D’après Pro Publica, « plus de 1 000 travailleurs » embauchés par l’entreprise Accenture consacreraient leur temps à la modération des contenus échangés sur l’app. Pour rappel, ils ne peuvent pas analyser n’importe quel message, puisque ces derniers sont protégés par le chiffrement de bout en bout. En revanche, ils reçoivent des morceaux de conversation, par blocs de 5 messages (textes, mais aussi images et vidéos), issus de la procédure de signalement de l’app. Pédopornographie, apologie du terrorisme, simples arnaques : toutes sortes de contenus louches, malveillants ou encore illégaux y passent.
Concrètement, si vous recevez un phishing ou des menaces, vous pouvez signaler le message à WhatsApp. Une fenêtre d’avertissement s’affichera : « les derniers messages de ce contact seront envoyés à WhatsApp. Le contact n’en sera pas informé ». Tous les signalements effectués sont agrégés dans un grand flux, puis une première étape de tri est effectuée par des logiciels d’analyse automatique développés par Facebook. Cette sorte de premier tamis permet de statuer sur les cas évidents d’abus.
Dès que le système ne peut lever l’ambiguïté d’une situation, le dossier passe à un modérateur humain. Il aura trois options : ignorer le signalement, bannir le compte, où l’indiquer comme potentiellement malveillant. Pro Publica précise que chaque employé peut statuer sur plusieurs centaines de signalements de ce genre par jour. En tout, les équipes analysent des « millions » de signalements par semaine.
L’existence de cette fonctionnalité de signalement signifie que réciproquement, une personne pourrait faire suivre à WhatsApp des messages que vous lui aurez envoyés. C’est un rappel que même dans une conversation protégée de bout en bout, les messages s’affichent en clair aux deux bouts. Si l’émetteur ou le destinataire décide de partager le contenu, ce n’est pas le chiffrement qui est remis en question, mais la relation de confiance entre les deux interlocuteurs.
Autrement dit, WhatsApp ne collecte pas vos messages, mais il peut y jeter un œil si votre interlocuteur lui en fait parvenir. L’entreprise se félicite d’ailleurs de ce système, qui, bien qu’invasif, lui permet de concilier chiffrement de bout en bout et lutte contre la fraude (et notamment le phishing).
Des métadonnées un peu trop bavardes
En plus des messages signalés, l’application a aussi accès à d’autres informations sur l’utilisateur, regroupées sous le terme « métadonnées ». Pour expliquer ce jargon, Pro Publica reprend une comparaison avec le courrier traditionnel qui s’applique bien à la situation.
Un message envoyé sur WhatsApp pourrait s’apparenter à une lettre, qui ne pourrait être déchiffrée qu’à l’aide d’un code établi au préalable et gardé secret par les deux correspondants. Si la lettre est interceptée, le voleur pourra sûrement ouvrir le scellé, mais il ne pourra pas lire son contenu, car il n’aura pas la clé pour le déchiffrer.
En revanche, un éventuel « méchant » pourrait lire les informations indiquées sur l’enveloppe, comme l’adresse du destinataire de la lettre. Et il pourrait ainsi remonter à sa future victime. Les métadonnées sont l’équivalent des informations indiquées sur l’enveloppe. Un certain nombre d’entre elles sont essentielles à l’établissement de la correspondance.
WhatsApp doit communiquer les données qu’il collecte sur demande de la justice
D’autres sont dispensables : c’est pourquoi d’autres apps encore plus respectueuses de la vie privée (comme Signal) tentent de limiter leur collecte à un minimum. La raison ? Les lois de plusieurs pays, comme les États-Unis et la France, permettent à la justice de les obtenir dans le cadre de certaines procédures d’enquête. Et s’il existe un moyen d’obtenir ces informations, il y a un risque pour l’utilisateur que l’entreprise qui les collecte, les monétise, ou que des hackers puissent s’en emparer.
Dans le détail, les métadonnées contiennent :
- Les noms et images affichés par l’utilisateur sur l’app (et ceux de ses groupes)
- Son numéro de téléphone,
- Le statut des messages (envoyé, réceptionné, lu)
- Le niveau de batterie du smartphone
- Le fuseau horaire de l’utilisateur
- La langue d’utilisation de l’app
- Le système d’exploitation du smartphone (Android ou iOS, et leur version)
- La date de la dernière utilisation de l’app
- Les comptes Facebook et Instagram qui sont liés au numéro de téléphone, si tel est le cas.
Bref, un cocktail de données très complet, qui suffit dans certains cas à obtenir des informations supplémentaires sur les utilisateurs, pour faire du ciblage publicitaire ou pour les identifier, par exemple. Le tout, alors que le contenu des messages est protégé.
Récemment, les métadonnées communiquées par ce système ont permis d’identifier une représentante du Trésor américain qui a envoyé à BuzzFeed des documents confidentiels exposants les pires pratiques des banques américaines. Nathalie « May » Edwards a ainsi été arrêtée malgré son acte de lanceuse d’alerte, en partie à cause de son utilisation de WhatsApp, précise ProPublica.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !