Les messages cryptés sur plusieurs appareils peuvent augmenter les risques, selon les experts
Points clés à retenir
- WhatsApp teste en version bêta les capacités multi-appareils avec un petit groupe d'utilisateurs.
- La nouvelle fonctionnalité permettra aux utilisateurs de synchroniser les communications sur quatre appareils supplémentaires.
- Les experts disent qu'il pourrait y avoir des compromis en matière de confidentialité lors de la communication entre les appareils, même lorsqu'ils sont cryptés.
Busakorn Pongparnit / Getty Images
Après son annonce en juillet que les capacités multi-appareils étaient en version bêta, les utilisateurs de WhatsApp se sont réjouis à l'idée de pouvoir se connecter sur plusieurs appareils. Mais la commodité supplémentaire viendra-t-elle avec des compromis en matière de confidentialité? Voici ce que vous devez savoir.
Malgré son protocole de cryptage acclamé, l'application de messagerie populaire a être sous le feu une quelques fois dans dernières années (et, euh, hier) pour de nombreuses vulnérabilités, soulevant des questions sur sa sécurité. Les experts avertissent qu'il pourrait également y avoir des compromis lors de la connexion de plusieurs appareils à une application de communication cryptée.
"[La question] n'est pas seulement d'ajouter plus d'appareils, mais sont-ils toujours sécurisés ?" Steven M. Bellovine, un professeur d'informatique à l'Université de Columbia, a déclaré à Lifewire lors d'un entretien téléphonique. « La phrase de sécurité est « surface d'attaque »: à combien d'endroits pouvez-vous être attaqué et de combien de manières différentes? »
Techniquement sécurisé
Selon Bellovin, l'un des problèmes les plus difficiles à résoudre concernant la sécurisation de plusieurs appareils sous un même compte commence par les bases de base du cryptage.
"Tout cryptage dépend d'une clé secrète", a déclaré Bellovin, comparant les clés de cryptage aux clés de voiture qui ne peuvent démarrer que la voiture à laquelle elles appartiennent. "Chaque personne doit avoir le sien. C'est pourquoi vous pouvez le lire et personne d'autre ne le peut."
Parce que chaque application qui repose sur le cryptage de bout en bout (E2EE) utilise un protocole spécifique basé sur les principes sous-jacents de la gestion des clés et de l'espace de noms (ce dernier est généralement le numéro de téléphone de l'utilisateur), Bellovin a déclaré que le défi consistait à trouver un moyen de déplacer les clés en toute sécurité et d'authentifier les propriétaires sur plusieurs appareils. question."
Clés du Royaume
Comme ses concurrents, WhatsApp permet déjà aux utilisateurs de se connecter sur un ordinateur à condition qu'ils soient également connectés au smartphone associé à leur clé (la société dit qu'il reflète alors le compte). Dans le cadre du système bêta, cependant, chaque appareil synchronisé aura sa propre clé, permettant aux utilisateurs de se connecter à quatre appareils supplémentaires sans téléphone.
"[La question] n'est pas seulement d'ajouter plus d'appareils, mais sont-ils toujours sécurisés ?"
"E2EE utilise normalement une seule clé de cryptage par utilisateur, qui doit copier la clé sur chaque appareil qu'il souhaite utiliser… C'est pourquoi WhatsApp, jusqu'à présent, n'a pris en charge qu'un seul appareil, car il est difficile de garder cette clé de chiffrement sûre et sécurisée tout en la déplaçant vers plusieurs dispositifs," John S. Ko, un chercheur en sécurité dont les travaux se sont concentrés sur une approche E2EE multi-appareils appelée clés par appareil (PDK), a déclaré à Lifewire dans un e-mail.
"Avec PDK, au lieu que les utilisateurs n'aient qu'une seule clé de cryptage, chacun des appareils d'un utilisateur a sa propre clé de cryptage. WhatsApp semble adopter ce concept et appelle les clés de l'appareil des "clés d'identité"", a déclaré Koh. "L'un des avantages d'E2EE sur plusieurs appareils utilisant mon approche, et probablement celle de WhatApp, reposant sur une clé par appareil, est que le modèle d'utilisation est beaucoup plus facile à comprendre pour les utilisateurs. Le compromis est le cas limite où les utilisateurs perdent leurs appareils et doivent supprimer leur accès, ce qui peut parfois être un processus laborieux."
Plus d'appareils, mêmes solutions
« La réponse à la question de savoir si quelque chose est sûr commence toujours par une autre question, à savoir « Quels sont vos besoins? » » Maritza Johnson, un expert en sécurité et confidentialité et directeur de centre à l'Université de San Diego, a déclaré à Lifewire lors d'un entretien téléphonique.
Pour répondre aux besoins de sécurité individuels, Facebook a déclaré dans un article de blog que WhatsApp prévoit d'offrir la possibilité de visualiser tous les appareils liés à un compte, de voir quand ils ont été utilisés pour la dernière fois, et déconnectez-vous à distance - quelque chose que Johnson a dit est important, en particulier pour les victimes de violence conjugale qui sont parfois cibles du cyberharcèlement.
Tippapatt / Getty Images
"Vous ne voulez pas que le téléphone de votre ex-petit ami reçoive une copie de tout et vous ne savez pas, ou vous ne savez pas comment l'éteindre", a déclaré Johnson. "C'est une décision personnelle, si vous voulez vous connecter à votre compte WhatsApp sur un appareil partagé, et réfléchir aux implications de cela."
Johnson a également souligné l'importance de s'assurer que chaque appareil lié est protégé par mot de passe pour éviter que quelqu'un d'autre n'y accède physiquement, ce contre quoi le cryptage le plus puissant ne peut pas protéger.
« Tout ordinateur portable, tablette ou autre appareil que vous utilisez avec le même compte, vous voudrez être sûr que vous ont le même niveau de sécurité de base sur tous ces éléments… afin que quelqu'un ne puisse pas simplement balayer pour ouvrir », a déclaré Johnson.