WhatsApp vient tout juste de faciliter le chiffrement des sauvegardes grâce aux passkeys, mais pour Mozilla, le plus important manque encore à l’appel.

Passkeys WhatsApp, Mozilla épingle des sauvegardes toujours mal protégées. © Sergei Elagin / Shutterstock
Passkeys WhatsApp, Mozilla épingle des sauvegardes toujours mal protégées. © Sergei Elagin / Shutterstock

En rendant la protection des sauvegardes aussi simple qu’un scan biométrique, WhatsApp promet d’épargner à ses trois milliards d’utilisateurs et d’utilisatrices le stress d’un historique irrécupérable lors d’un changement de smartphone. Une initiative bienvenue, censée moderniser un système jusque-là dépendant d’un mot de passe ou d’une clé interminable, mais qui passe encore à côté de l’essentiel selon Mozilla. La fondation, qui vient d’attribuer une note de 6/10 à l’application sur sa plateforme Nothing Personal, pointe en effet une mise à jour incomplète et trop timide, incapable de protéger les conversations de manière réellement transparente.

Des sauvegardes mieux pensées, mais encore largement à la charge de l’utilisateur

Jusqu’ici, le chiffrement de bout en bout des sauvegardes existait déjà, mais reposait sur une clé de 64 caractères ou sur un mot de passe que l’on ne saisissait qu’à de très rares occasions. Un procédé solide, mais peu pratique, qui rendait la restauration hasardeuse pour quiconque avait oublié sa clé. Les passkeys visent à lever ce frein en s’appuyant sur la biométrie ou le code de déverrouillage de l’appareil. On récupère son historique depuis Google Drive ou iCloud sans effort particulier, et l’opération devient nettement moins anxiogène au moment de changer de smartphone.

Cette avancée n’efface toutefois pas l’un des principaux écueils de l’application, puisque les sauvegardes ne sont toujours pas chiffrées par défaut. Pour les protéger, il faut fouiller dans les réglages, activer manuellement l’option, puis vérifier qu’elle fonctionne bien. Une étape que beaucoup ne franchiront jamais, faute d’en connaître l’existence, ce qui limite de fait le bénéfice réel aux utilisatrices et utilisateurs déjà habitués à manipuler les paramètres de sécurité. Pour les autres, les conversations continueront d’être hébergées sur iCloud ou Google Drive sans protection renforcée.

Le tableau se complique encore lorsqu’on tient compte de l’autre partie de la conversation. Même si vous activez le chiffrement de vos propres sauvegardes, rien n’empêche vos messages de se retrouver en clair dans celles de votre interlocuteur ou interlocutrice, si la personne n’a pas activé l’option de son côté. Une vulnérabilité silencieuse, qui réduit mécaniquement la portée du dispositif dès qu’il sort du cadre individuel.

À cela s’ajoute enfin un déploiement volontairement progressif, sans calendrier précis annoncé, qui laisse planer un doute sur sa disponibilité prochaine à grande échelle.

Les passkeys pour la restauration des sauvegardes WhatsApp, oui, mais pas si sécurisées ni transparentes que ce que Meta veut nous faire croire. © WhatsApp
Les passkeys pour la restauration des sauvegardes WhatsApp, oui, mais pas si sécurisées ni transparentes que ce que Meta veut nous faire croire. © WhatsApp

Métadonnées, contacts et écosystème Meta, le nœud du problème

Le sujet dépasse toutefois la seule question des sauvegardes, puisqu’il s’inscrit dans une dynamique d’ensemble tout sauf neutre. Le contenu des messages aura beau rester chiffré, WhatsApp collecte toujours des métadonnées, ces informations qui décrivent qui parle à qui, à quel rythme et à quels moments, permettant d’esquisser une cartographie précise des échanges. Évidemment, à l’échelle de trois milliards de comptes, on ne peut décemment pas parler d’un détail.

La sauvegarde automatique des contacts élargit encore le périmètre des données traitées, alimentant un profilage qui dépasse le seul historique des conversations. Une impression d’ensemble perméable d’autant plus prégnante que l’application ne vit plus tout à fait en vase clos et que ses contours pourraient évoluer au gré des usages. L’intégration avec l’écosystème Meta crée en effet des passerelles susceptibles de brouiller les frontières, comme en témoigne la synchronisation facultative (pour le moment) de la messagerie à l’Espace Comptes, censée faciliter la circulation d’informations entre services.

On rappellera quand même que par défaut, cette interconnexion n’ouvre pas la porte à l’exploitation des données WhatsApp à des fins publicitaires par Meta. Mais activer l’Espace Comptes revient à aligner les préférences publicitaires entre services et à autoriser l’usage des métadonnées associées pour personnaliser les annonces. Autrement dit, le cloisonnement qui protège théoriquement WhatsApp du ciblage public devient bien plus poreux si l’on choisit de fusionner ses comptes.

Au final, l’arrivée des passkeys ressemble davantage à une amélioration locale qu’au vrai tournant annoncé. La restauration des discussions gagne certes en simplicité, mais l’architecture globale ne change pas fondamentalement, et c’est précisément ce décalage que pointe Mozilla. Si le chiffrement se renforce pour une partie du parcours, son efficacité restera relative tant que d’autres données, plus périphériques mais déterminantes, continueront d’être exploitées ou de circuler dans un environnement étroitement lié à Meta.

Or, vous en conviendrez, la confidentialité ne peut pas reposer sur une addition de réglages ponctuels ou d’options pansements. Elle doit former un tout cohérent, lisible, accessible, où chaque élément s’articule clairement avec le reste. Ce qui, de toute évidence, n’est pas encore le cas avec WhatsApp.

Source : Mozilla

À découvrir
Les meilleures messageries instantanées pour rester connecté et échanger en 2025 !
07 février 2025 à 17h46
Comparatifs services
WhatsApp
  • Chiffrement de bout en bout.
  • Appels audio et vidéo gratuits.
  • Compatibilité multiplateforme.
9 / 10
Télécharger