WhatsApp va permettre à ses plus de 2 milliards d’utilisateurs de chiffrer entièrement les sauvegardes de leurs messages, a annoncé ce vendredi l’application appartenant à Facebook.
Le plan, que WhatsApp détaille dans un livre blanc avant de le déployer aux utilisateurs d’iOS et d’Android dans les semaines à venir, est destiné à sécuriser les sauvegardes que les utilisateurs de WhatsApp envoient déjà à Google Drive ou iCloud d’Apple, les rendant illisibles sans une clé de chiffrement. Les utilisateurs de WhatsApp qui optent pour des sauvegardes chiffrées seront invités à enregistrer une clé de chiffrement à 64 chiffres ou à créer un mot de passe lié à cette clé.
« WhatsApp est le premier service de messagerie mondial à cette échelle à offrir une messagerie et des sauvegardes chiffrées de bout en bout, et y parvenir était un défi technique vraiment difficile qui nécessitait un framework entièrement nouveau pour le stockage des clés et le stockage sur le cloud à travers les systèmes d’exploitation », a déclaré Mark Zuckerberg, PDG de Facebook, dans un communiqué.
🎉 WhatsApp is the leading global messaging service to offer *both* end-to-end encrypted messaging and backups on iCloud or Google Drive. 🎉
So you can make sure that bestie’s voice messages and mum’s secret recipe will be safely stored in a place only you can access.
—WhatsApp (@WhatsApp) September 10, 2021
Si quelqu’un crée un mot de passe lié à la clé de chiffrement de son compte, WhatsApp stockera la clé associée dans un module de sécurité matériel physique, ou HSM, qui est maintenu par Facebook et déverrouillé uniquement lorsque le mot de passe correct est entré dans WhatsApp. Un HSM agit comme un coffre-fort pour le chiffrement et le déchiffrement des clés numériques.
Une fois déverrouillé avec le mot de passe qui lui est associé dans WhatsApp, le HSM fournit la clé de chiffrement qui, à son tour, déchiffre la sauvegarde du compte qui est stockée sur les serveurs d’Apple ou de Google. Une clé stockée dans l’une des chambres fortes HSM de WhatsApp deviendra définitivement inaccessible si des tentatives répétées de mot de passe sont effectuées. Le matériel lui-même est situé dans des centres de données appartenant à Facebook dans le monde entier pour se protéger des pannes d’Internet.
Un déploiement dans les prochains jours
Le système est conçu pour garantir que personne d’autre que le propriétaire d’un compte ne puisse avoir accès à une sauvegarde, a déclaré le responsable de WhatsApp, Will Cathcart. Il a déclaré que l’objectif de laisser les gens créer des mots de passe plus simples est de rendre les sauvegardes chiffrées plus accessibles. WhatsApp saura seulement qu’une clé existe dans un HSM, mais pas la clé elle-même ni le mot de passe associé pour la déverrouiller.
L’annonce de WhatsApp signifie que l’application va un peu plus loin qu’Apple, qui chiffre les iMessages mais détient toujours les clés des sauvegardes chiffrées ; cela signifie qu’Apple peut aider à la récupération, mais aussi qu’elle peut être contrainte de remettre les clés aux forces de l’ordre.
Comme mentionné précédemment, la fonctionnalité sera déployée pour les utilisateurs sur Android et iPhone au cours des prochaines semaines.
