Selon des chercheurs en sécurité, WhatsApp stocke ses bases de données de conversations sans chiffrement sur iOS et macOS, dans un espace partagé techniquement accessible aux autres applications Meta installées sur le même appareil. Cette brèche ne nécessite aucune permission explicite de l'utilisateur. Et elle est au coeur d'une action collective déposée par le cabinet d'avocats Quinn Emanuel contre Meta.
Le chiffrement de bout en bout de WhatsApp protège vos messages en transit entre deux appareils. Mais lorsque les données arrivent sur votre iPhone ou votre Mac, les choses sont bien différentes. Du côté du stockage local, la donne change complètement.
Axolotl.sqlite : le fichier que Meta peut théoriquement lire sans permission
Les chercheurs de Mysk ont identifié que WhatsApp enregistre l'historique des conversations dans un fichier nommé "Axolotl.sqlite". Ce dernier est placé dans un conteneur partagé entre les applications d'un même développeur, désigné sous l'identifiant "group.net.whatsapp.WhatsApp.shared". Il s'agit en fait d'une fonctionnalité native d'iOS et de macOS. Apple autorise en effet les applications d'un même éditeur à partager un espace de stockage commun, lequel est conçu pour faciliter les échanges de données entre elles.
Concrètement, les autres applications du groupe Meta comme Facebook ou Instagram disposent techniquement d'un accès à ce fichier, lequel contient vos conversations WhatsApp. Non seulement l'utilisateur n'en est pas informé, mais en plus, cela ne va pas à l'encontre des règles de sandboxing d'Apple.
Surtout, dans ce fichier, les données ne sont pas chiffrées. Le chiffrement de bout en bout (E2EE) protège un message pendant son transport sur les réseaux (en transit), de l'expéditeur au destinataire. Personne ne peut l'intercepter en chemin. Mais, une fois le message déchiffré et reçu sur l'appareil, il est stocké en clair dans ce fichier SQLite (at rest). Toute application disposant d'un accès légitime au conteneur partagé peut donc en lire le contenu directement.
Apple propose bien un système de protection des données qui chiffre les fichiers selon l'état de l'appareil (verrouillé ou déverrouillé). Cependant, ce mécanisme ne garantit pas que les bases de données des applications soient à l'abri d'un accès par d'autres applications autorisées au sein du même espace partagé. WhatsApp aurait pu choisir de chiffrer ces données au niveau de l'application, mais ne le fait pas.
Selon l'analyste Matthew Green, c'est précisément la raison pour laquelle le cabinet Quinn Emanuel a déposé une action en justice contre Meta. Un peu plus tôt cette année, nous rapportions des accusations selon lesquelles Meta accéderait librement aux échanges de WhatsApp. Une enquête a été menée sur le sujet. Rappelons au passage que l'équipe de WhatsApp planche sur sa propre infrastructure de sauvegarde cloud avec un chiffrement de bout en bout activé par défaut
