Un groupe international d'utilisateurs WhatsApp a déposé une plainte collective contre Meta à San Francisco. Les plaignants accusent l'entreprise de pouvoir accéder aux messages prétendument chiffrés de bout en bout. Meta qualifie ces allégations de "fausses et absurdes".
Une nouvelle bataille juridique s'ouvre pour Meta. Un recours collectif déposé le 23 janvier dernier devant la cour fédérale de San Francisco met directement en cause les promesses de confidentialité de la messagerie WhatsApp. Les plaignants, originaires d'Australie, du Brésil, d'Inde, du Mexique et d'Afrique du Sud, affirment que le chiffrement de bout en bout vanté par la messagerie ne serait qu'une façade marketing.
Des employés auraient un accès direct aux conversations privées
Dans ce document, récupéré par Bloomberg, les plaignants affirment sans détour que Meta et WhatsApp "stockeraient, analyseraient et pourraient accéder à pratiquement toutes les communications prétendument privées des utilisateurs de WhatsApp". Ils précisent que des employés de l'entreprise auraient même la capacité d'accéder au contenu des messages via un simple système de requête interne.
D'après cette plainte, un employé n'aurait qu'à soumettre une "tâche" via les systèmes internes de Meta à un ingénieur pour obtenir l'accès aux messages d'un utilisateur identifié par son User ID. Une fois l'autorisation accordée, les messages apparaîtraient dans un widget, sans nécessiter d'étape supplémentaire de déchiffrement. L'accès ne serait soumis à aucune limite temporelle, permettant théoriquement de consulter l'historique complet des conversations, y compris les messages que les utilisateurs pensent avoir supprimés.
La réaction de Meta n'a pas tardé. Andy Stone, porte-parole de l'entreprise, a qualifié la plainte de "fiction frivole". "Toute affirmation selon laquelle les messages WhatsApp des utilisateurs ne sont pas chiffrés est catégoriquement fausse et absurde", a-t-il déclaré. "WhatsApp utilise depuis dix ans le protocole Signal pour le chiffrement de bout en bout."
Meta a même annoncé qu'elle demanderait des sanctions judiciaires à l'encontre des avocats des plaignants pour avoir initié ce recours. De leurs côté, les plaignants réclament des dommages et intérêts dont le montant n'a pas été précisé, ainsi qu'une injonction pour faire cesser ce qu'ils considèrent comme une tromperie massive.
Un même protocole, deux implémentations différentes
Le protocole Signal, développé par Open Whisper Systems et intégré à WhatsApp depuis 2016, repose sur un mécanisme où les messages sont chiffrés sur l'appareil de l'expéditeur et ne peuvent être déchiffrés que sur celui du destinataire. Théoriquement, même Meta ne peut pas accéder au contenu des échanges. Ce protocole a d'ailleurs fait l'objet d'audits de sécurité.
Il n'empêche que l'implémentation du protocole Open Whisper System diffère sur la gestion des métadonnées : Signal minimise leur collecte en ne stockant que le hash chiffré du numéro de téléphone, la date de création du compte et l'horodatage de dernière connexion, tandis que WhatsApp collecte et conserve des métadonnées étendues comme les informations sur les groupes, le type d'appareil, l'opérateur mobile, l'adresse IP et les identifiants Meta associés à d'autres services. De plus, contrairement à WhatsApp, Signal ajoute une couche de protection supplémentaire avec sa fonctionnalité "Sealed Sender" laquelle cache même les métadonnées d'envoi pour limiter ce que les serveurs peuvent voir sur les correspondants.
Une affaire qui prend de l'ampleur
Cette affaire n'est pas la première qui interroge les pratiques de Meta en matière de confidentialité sur WhatsApp. En septembre dernier, un ancien responsable de la sécurité de WhatsApp, Attaullah Baig, avait déjà porté plainte en tant que lanceur d'alerte, affirmant que près de 1 500 ingénieurs de l'entreprise avaient un accès non contrôlé aux données des utilisateurs.
Cette nouvelle plainte s'appuierait sur des lanceurs d'alerte dont l'identité n'est toutefois pas révélée dans la plainte. En outre, les plaignants n'apportent aucune preuve technique concrète d'une faille dans le protocole.
La position de WhatsApp a toujours été très ambiguë, puisque la société promet un chiffrement des données des utilisateurs tout en restant la filiale d'une entreprise dont les revenus proviennent majoritairement de la publicité ciblée. D'ailleurs, on se souvient de la polémique lorsque Meta souhaitait pouvoir accéder aux données des utilisateurs de WhatsApp pour renforcer ses dispositifs de publicités ciblées.
La messagerie Signal avait alors enregistré un record historique en nombre de téléchargements.
