Que se passe-t-il avec WhatsApp et Facebook ?

La nature des changements est à vrai dire en pourparlers. Facebook affirme que les changements seront minimes. Toutefois, il est reproché à Facebook de se donner à lui-même la permission de transférer les données de WhatsApp vers le « vaisseau-mère ».

Outre le partage des données utilisateur, WhatsApp prévoit d’utiliser le numéro de téléphone et les adresses IP des utilisateurs pour évaluer leur position à un instant donné. Une autre nouveauté à venir concerne l’introduction du traitement de conversations professionnelles par des serveurs externes. Cela signifie que les informations personnelles seront susceptibles d’être traitées par des organismes tiers.

Facebook choisit a priori une période particulière pour ces changements : deux procès portant sur des accusations de pratiques anticoncurrentielles de la part de Facebook sont en cours aux États-Unis, et les plaignants demandent que ce dernier se sépare d’Instagram et de WhatsApp. Facebook est ainsi suspecté de vouloir rapidement fusionner les données en vue de déclarer par la suite qu’une séparation n’est plus possible.

Mais les discussions sur WhatsApp ne sont-elles pas sûres ?

Même si WhatsApp chiffre aussi bien les conversations à deux que celles de groupe de façon que personne ne puisse les espionner (chiffrement de bout en bout), de nombreuses préoccupations en matière de vie privée restent en suspens. WhatsApp ne fonctionne qu’une fois le carnet d’adresses de l’utilisateur téléchargé vers leurs serveurs. D’un côté, cela permet à l’application de mettre en rapport les utilisateurs de WhatsApp, mais par ailleurs personne ne sait exactement quelles informations WhatsApp recueille avec ce procédé.

WhatsApp rassemble en outre énormément d’informations des utilisateurs en analysant les métadonnées. La société n’a en principe pas la possibilité d’intercepter ce que les utilisateurs se disent, mais elle peut voir lorsque ceux-ci sont en conversation. Les images et les messages d’état demeurent également non chiffrés.

Lorsque les utilisateurs cliquent sur des liens dans une conversation, les URL correspondantes sont enregistrées et suivies. Toutes ces données s’avèrent utiles pour établir des profils utilisateur détaillés. Si vous savez qui parle avec qui et quels liens ces personnes se transmettent, savoir de quoi ils discutent peut finalement s’avérer sans intérêt.

Alternatives à WhatsApp

On dit souvent : « Si c'est gratuit, alors vous n’êtes pas le client, mais le produit ». Mais est-ce que les concurrents de WhatsApp s’en sortent mieux lorsqu’il est question de vie privée ?

Actuellement, WhatsApp connaît trois principaux concurrents. Threema est le plus ancien du lot, Signal est le « petit nouveau », et Telegram jouit d’une particulièrement bonne réputation. Tous les trois sont disponibles pour Android et iOS.

Signal a profité d’un bienfaiteur

Bien que Signal commence seulement à gagner en popularité en tant qu’alternative à WhatsApp, cette application existe depuis 2014. À l’instar de WhatsApp, Signal chiffre de manière sécurisée aussi bien les conversations individuelles que celles de groupe. Tout comme WhatsApp, Signal est gratuit.

Pardon ? Ah oui, je viens de dire qu’une application gratuite impliquait que l’utilisateur est le produit... Eh bien... c’est l’exception qui confirme la règle. Signal est une fondation qui a été établie grâce à des dons. En 2018, la fondation a reçu 50 millions de dollars US de la part de Brian Acton, l’un des fondateurs de WhatsApp (quelle ironie !). Vous ne pourrez peut-être pas en donner autant, mais la moindre participation est bienvenue.

Signal applique rigoureusement une démarche qui met en priorité le respect de la vie privée. Par exemple, bien que Signal accède aussi au carnet d’adresses de l’utilisateur, il n’en récupère pas l’intégralité, mais uniquement des valeurs de hachage (ou hash) des numéros de téléphone qui s’y trouvent.

Le hash, « qu’hash » que c’est ??

Je vais expliquer brièvement ce que sont les hash, parce qu’on va y revenir plus loin : plutôt que d’envoyer des données d’adresses brutes à ses serveurs, Signal calcule des hash (ou valeurs de hachage donc) à partir des numéros de téléphone.

La technique de chiffrement par hash s’apparente à une rue à sens unique : il est impossible de retrouver un numéro de téléphone à partir de sa valeur de hachage. Par ailleurs, les hash sont des valeurs constantes, c.-à-d. que si par exemple trois appareils différents calculent une valeur de hachage à partir d’un même numéro de téléphone, cette valeur sera toujours la même.

En comparant les hash de votre carnet d’adresses avec ceux présents sur son serveur, Signal est en mesure de vous indiquer ceux parmi vos contacts qui utilisent l’application sans que les serveurs centraux ne connaissent les numéros en eux-mêmes.

Même si cette méthode est loin d’être parfaite (les hash des numéros de téléphone peut être cassés), elle est appréciable en comparaison de WhatsApp qui télécharge l’intégralité du carnet d’adresses de ses utilisateurs vers ses serveurs.

Passer de WhatsApp à Signal

Ceux qui sont habitués à WhatsApp devraient trouver la migration relativement facile. Outre les textes, Signal est également capable de chiffrer de façon sûre les conversations vocales et vidéo. La seule chose qui manque vraiment, c’est la fonctionnalité indiquant l’état.

Et certaines différences nécessiteront un temps d’adaptation ; comme le fait que l’onglet des contacts comporte aussi les personnes qui n’utilisent pas Signal. Pour ces dernières, si vous leur envoyez un message texte, celui-ci sera transmis sous forme de SMS (non chiffré).

Aussi, la stratégie de sauvegarde de Signal est particulière, dans la mesure où elle nécessite un mot de passe à 30 chiffres (!). Pour récupérer votre identifiant Signal sur un autre appareil, vous devez le protéger à l’aide d’un code PIN à huit chiffres. Signal vous demandera régulièrement ce code dans le but de vous le faire mémoriser.

Telegram : l’ami des robots

Telegram a été lancé en 2013 et s’est répandu en grande partie parce qu’il est capable de gérer des « bots » et fonctions d’automatisation diverses. Les bots et les chaînes qui lui sont associées s’avèrent un bon moyen de mettre en place des réunions ou des séances de jeu dans la vie réelle.

Les utilisateurs qui recherchent la confidentialité seront probablement peu satisfaits avec Telegram. En décembre 2020, les fondateurs de Telegram ont annoncé le développement d’une plateforme publicitaire et leur intention de fournir, à terme, des services complémentaires payants.

De plus, l’application a montré plusieurs failles de sécurité – la pire d’entre elles ayant permis un accès public à 42 millions de fichiers client. Par défaut, toute communication réalisée via Telegram est enregistrée sous un format non chiffré sur les serveurs de l’entreprise. Les conversations individuelles peuvent être configurées comme « secrètes », mais les chaînes et les discussions de groupe seront toujours publiques.

L’interface utilisateur de Telegram est plutôt intuitive. La gestion des chaînes peut réclamer un peu de patience avant de s’y habituer, mais la plupart des bots comportent des instructions. En conclusion, Telegram se révèle très utile pour l’organisation de groupes ne nécessitant aucune confidentialité – les amateurs de Ingress et Pokémon Go utilisent largement les chaînes (ou canaux) pour se retrouver et réaliser des objectifs communs.

Threema et ses petits points verts

Threema a été créée en Suisse en 2012. Il s’agit d’une application payante dont le prix est de 2 à 3 dollars US, suivant qu’il s’agisse du tarif plein ou d’une promotion. Threema se targue de mettre en permanence l’accent sur la confidentialité : parmi les quatre applications de messagerie présentées ici, c’est la seule qui ne requière ni numéro de téléphone, ni adresse e-mail pour s’inscrire.

Le nom de Threema provient de ses trois niveaux de vérification. Un contact inconnu sera affiché avec un unique point rouge. Deux points orange correspondent à une personne dont le numéro de téléphone se trouve dans votre carnet d’adresses. Pour atteindre le niveau de confiance maximum symbolisé par trois points verts, les utilisateurs doivent scanner le QR code de leurs amis à partir de leur téléphone.

Vous restez totalement libre de synchroniser le carnet d’adresses ou pas avec les serveurs de Threema. Si la synchronisation est activée, l’application enverra des hash des adresses e-mail et des numéros de téléphone pour établir une correspondance avec les identifiants des autres utilisateurs. L’entreprise est particulièrement honnête dans la mesure où elle précise que ces valeurs de hachage, par nécessité, ne sont pas sûres à 100 %, mais c’est indéniablement une avancée par rapport aux pratiques de WhatsApp.

Threema prend en charge les discussions individuelles et de groupe, ainsi que les appels vocaux et vidéo. Il fut un temps où la qualité des appels vocaux était sensiblement inférieure à celle offerte par WhatsApp, mais elle a récemment été nettement améliorée. Les utilisateurs de Threema peuvent créer des sondages, par exemple pour coordonner des horaires de repas ou prévoir des séances de jeu.

L’application dispose de trois options de sauvegarde : une locale et deux en ligne. Les sauvegardes cloud sécurisées de Threema fonctionnent même d’un système d’exploitation à l’autre : une sauvegarde Android pourra aisément être importée sur un appareil sous iOS, et vice versa.

Le reste de la concurrence

Signal, Threema et Telegram ne sont pas les seules alternatives à WhatsApp – loin de là. Le tableau proposé par Wikipedia concernant les applications de messagerie instantanée multiplateforme énumère au total 45 applications actives, sans même inclure Microsoft Teams.

Il existe deux alternatives respectant particulièrement la vie privée qui peuvent valoir le coup d’œil : Element et Wire. Element se base sur le protocole Matrix, qui permet des conversations individuelles et de groupe intégralement chiffrées. Wire propose un style particulièrement travaillé, malheureusement avec une base d’utilisateurs restreinte.

Alors... que faire ?

On peut trouver de nombreuses raisons d’abandonner WhatsApp, mais tant que la majeure partie de vos amis n’utiliseront rien d’autre, vous devrez probablement continuer à l’utiliser à court terme. Ce n’est pas une raison pour oublier toute migration cependant.

Le plus dur est de décider vers quoi. En fin de compte, cela va dépendre de vos contacts. Un bon nombre de vos amis va probablement migrer vers Signal parce que c’est « gratuit ». Concernant vos amis les moins à l’aise avec la technologie, pourquoi ne pas les aider à configurer Signal. Vous le ferez autant pour eux que pour vous.

Bien que Threema affiche un respect de la vie privée exemplaire, son attrait vaut surtout pour l’Europe. Beaucoup rétorqueront que c’est payant, mais vous pouvez proposer à vos amis réticents de payer pour eux. La plupart d’entre eux finiront, même si c’est à contrecœur, par payer eux-mêmes l’application.

Pendant la période de transition où vous devrez continuer avec WhatsApp, les utilisateurs d’Android peuvent configurer WhatsApp sous un profil de travail à part et conserver un minimum de contacts enregistrés dans ce profil. Les appareils Samsung récents proposent par ailleurs une fonction « Dual Messenger » pour empêcher WhatsApp d’accéder aux contacts personnels (Paramètres > Fonctionnalités avancées > Dual Messenger > Utiliser une liste de contacts séparée).