Rachetée par Facebook en février 2014, WhatsApp fait fuir ses utilisateurs. En cause, ses conditions de service et sa politique de confidentialité un peu trop curieuses en matière de données personnelles. Elles devaient entrer en vigueur le 8 février, mais WhatsApp a finalement décidé de les reporter sans donner de nouvelle date.
Mais cette décision suffira-t-elle à limiter la fuite d’utilisateurs et l’amende de 50 millions d’euros que s’apprêterait à lui infliger l’Irlande pour non-respect du RGPD ? Il est encore trop tôt pour le savoir. Par le passé, Facebook n’a pas perdu énormément d’utilisateurs malgré ses méthodes peu orthodoxes en matière de respect de la vie privée.
Cette polémique à propos des conditions de services de WhatsApp a au moins eu le mérite de rappeler qu’il existe de nombreuses autres messageries tout aussi efficaces, mais qui, en plus, récupèrent très peu de données personnelles sur leurs utilisateurs.
Des États très curieux
Autre argument en leur faveur : elles déploient différentes techniques afin de limiter les risques de fuites de données ou d’interception par des États. Beaucoup de pays souhaitent en effet « écouter » les communications des messageries et interdisent donc le chiffrement de bout en bout. Ce procédé brouille les messages sur l’appareil de l’expéditeur et ne les déchiffre pas avant qu’ils arrivent sur l’appareil du destinataire. En Chine, WhatsApp est surveillé et le pays privilégie WeChat, sa messagerie nationale.
D’autres États imposent aussi aux éditeurs d’intégrer des backdoors (schématiquement, un accès à l’application). Les raisons avancées sont multiples : nécessité de surveiller des réseaux de pirates ou des escrocs.
Fin 2020, le fournisseur de services de messagerie allemand Tutanota (considéré comme l’une des solutions les plus sécurisées au monde) a été contraint par décision de justice d’intégrer une backdoor dans ses serveurs, afin que la police judiciaire puisse espionner la boîte de réception d’un maître chanteur présumé.
L’affaire WhatsApp a donc propulsé sur le devant de la scène quelques messageries, qui sans être confidentielles, n’étaient pas vraiment connues du grand public. Elles proposent pourtant les mêmes fonctionnalités : envoyer des messages, lancer des appels vidéo ou vocaux gratuits et participer à une conversation avec une personne ou un groupe.
Des projets open source plus respectueux
C’est le cas de Signal. Recommandée par Edward Snowden, cette application pour smartphone (mais il existe aussi une version desktop) a connu une forte augmentation du nombre d’utilisateurs au cours des dernières années, en raison de ses fonctions de protection de la vie privée : elle ne relie aucune donnée à votre identité et adresse IP, chiffre les flux de messages (y compris les métadonnées) de bout en bout, crypte les données sur l’appareil (iOS et Android uniquement) et celles qui sont sauvegardées dans le cloud (sauf s’il s’agit de iCloud d’Apple et de Google Drive).
Les utilisateurs peuvent opter pour la suppression automatique de leurs messages au bout d’un certain temps. Cette option garantit le respect de la vie privée, même si quelqu’un d’autre a accès au téléphone.
Enfin, Signal est une association indépendante à but non lucratif dont le développement est soutenu uniquement par les dons des utilisateurs et de fondations (la Freedom of the Press Foundation, la Knight Foundation, la Shuttleworth Foundation et l’Open Technology Fund).
« J’ai une préférence assez nette pour Signal, car c’est un projet Open source qui n’est pas trop jeune (juillet 2014) donc pas trop fragile en termes de pérennité. Côté sécurité, il utilise des algorithmes d’OWS prouvés formellement. Son interface est très proche de celle de WhatsApp (facilité pour l’adoption) et la découverte des contacts est automatique (il n’y a pas à les ajouter un par un) », nous explique Renaud Lifchitz, Chief Scientific Officer chez Holiseum, une société française spécialisée dans la sécurité informatique.
Tout est crypté
Il existe deux autres alternatives à WhatsApp. La première est Wire qui dépend de la juridiction suisse et qui est financée par Janus Friis, Iconical et Zeta Holdings Luxembourg. Outre les appels vocaux/vidéo, cette application (iOS, Android, Windows, Mac et Linux) permet des conversations privées ou de groupe, les transferts de fichiers jusqu’à 25 Mo et le partage de fichiers multimédia.
Côté sécurité, elle utilise un nouveau cryptage de bout en bout (baptisé « Proteus » et inspiré de celui de Signal) pour chaque message, réduisant ainsi l’impact d’une seule clé compromise. De plus, l’application est open source, ce qui permet aux utilisateurs de la modifier, de l’inspecter et de l’améliorer.
La seconde messagerie recommandée est également suisse. Open source, Threema est financée par ses utilisateurs et Afinum Management AG. Elle offre presque toutes les fonctionnalités que l’on peut attendre d’une messagerie instantanée sans compromettre la sécurité. Pour commencer, l’application ne nécessite pas de numéro de téléphone (vous pouvez créer à la place un identifiant à 8 chiffres) ou d’autres informations personnelles pour l’enregistrement.
Vos listes de contacts et vos informations de groupe sont stockées uniquement sur votre téléphone, et non dans l’application. L’application supprime les messages de ses serveurs dès qu’ils sont remis au destinataire et elle assure un chiffrement de bout en bout pour tous les types de messages, y compris les textes, les appels vocaux, les fichiers partagés et les discussions de groupe.
Mais ces trois applications que l’on peut recommander ne sont pas les seules à profiter du scandale WhatsApp. Des internautes ont remis au goût du jour ICQ, un service de messagerie apparu au milieu des années 1990. Il a été modernisé au fil des ans et il est même proposé aujourd’hui sous forme d’une application pour smartphones.
Autre piste à suivre, le projet open source Matrix. « Elle s’appuie sur un standard ouvert pour une communication chiffrée de bout en bout et décentralisée. Cette solution supporte les appels et les visio mais elle est davantage orientée vers les groupes de discussion », signale Renaud Lifchitz.
Dans l'actualité
- Anonymisation des données, une nécessité à l’ère du RGPD
- RGPD : une mise en conformité loin d’être généralisée
- Le RGPD : bientôt un « standard » mondial ?
- Entre surveillance et protection de la vie privée
- Respect de la vie privée : les cadeaux à éviter
- RGPD : un bilan mitigé
- Arnaud Legout : « Il n’existe pas de solution grand public contre la publicité ciblée »
- La biométrie comportementale : la protection de notre identité numérique sans soucis !