Analyse du respect de la vie privée par WhatsApp

Les messages WhatsApp envoyés entre les utilisateurs de comptes personnels sont protégés par le protocole de chiffrement Signal. Ce que nous savons avec certitude, c’est que le chiffrement de bout en bout est activé par défaut, ce qui est un avantage. Cela dit, un bémol subsiste. Il vous faudra vous rendre dans l’onglet Paramètres et activer le chiffrement de bout en bout pour sauvegarder les discussions enregistrées sur le cloud.

Si cette option n’est pas activée, toutes les conversations transmises au cloud (Google, par exemple) seront entièrement accessibles à des tiers. Pourquoi cette fonctionnalité n’est-elle pas activée par défaut ? C’est un mystère, d’autant plus que vos messages en texte clair apparaîtront également dans la sauvegarde non chiffrée de vos interlocuteurs.

Si vous craignez particulièrement que d’autres utilisateurs WhatsApp obtiennent votre adresse IP, vous pouvez désactiver les aperçus des liens et faire passer vos appels exclusivement par les serveurs WhatsApp. Aucune de ces fonctionnalités n’est activée par défaut par souci de praticité.

À première vue, le fait que WhatsApp effectue automatiquement une sauvegarde de vos contacts peut sembler quelque peu inquiétant. Cependant, WhatsApp affirme que ces sauvegardes sont chiffrées côté client et que les clés ne quittent jamais votre appareil.

En dehors de cela, les paramètres par défaut de WhatsApp sont généralement raisonnables. Ce n’est que lorsque vous commencez à utiliser certaines des fonctionnalités moins essentielles de WhatsApp, telles que l’intégration du Centre de compte et Meta AI, que WhatsApp devient un sujet de préoccupation en matière de confidentialité.

WhatsApp collecte par défaut une certaine quantité de métadonnées sur tous les utilisateurs, que vous pouvez consulter en demandant une copie de l’état de votre propre compte depuis l’application.

Il s’agit d’informations assez classiques : l’appareil depuis lequel vous utilisez WhatsApp, la dernière adresse IP à partir de laquelle vous vous êtes connecté, votre photo de profil, votre numéro de téléphone, etc. Le fait que WhatsApp collecte ces informations n’est pas idéal, mais c’est monnaie courante, sauf pour les services les plus soucieux de la confidentialité.

Il n’y a aucun moyen de désactiver cette fonctionnalité. Si cela vous gêne, vous devrez soit limiter la transmission des données permettant de vous identifier personnellement (nous y reviendrons dans un instant !), soit cesser complètement d’utiliser WhatsApp.

La question la plus préoccupante est l’intégration du Centre de comptes, qui regroupe vos informations sur l’ensemble des services Meta si vous choisissez d’y associer votre compte WhatsApp. Notre analyse de l’application WhatsApp elle-même a révélé au moins treize bibliothèques Meta différentes utilisées par WhatsApp, notamment com.facebook.adsmanager et com.facebook.analytics.

WhatsApp indique dans sa politique que le fait de connecter votre compte WhatsApp au Centre de comptes aura pour effet d’appliquer vos préférences publicitaires à tous vos comptes. Si vous craignez que Facebook en apprenne davantage sur vous via WhatsApp, nous vous recommandons de désactiver cette fonctionnalité.

WhatsApp a traversé une série de scandales liés à la confidentialité en raison de ses liens avec Meta, notamment une mise à jour en 2021 qui précisait que les comptes professionnels étaient autorisés à héberger les messages envoyés sur les serveurs de Meta à des fins de traitement, supprimant ainsi toute forme de protection de bout en bout.

L’ancien responsable de la sécurité de WhatsApp, Attaullah Baig, affirme avoir constaté, pendant qu’il était en fonction, des défaillances systématiques dans la protection des données des utilisateurs contre l’accès par les employés de WhatsApp. D’après lui, environ 1 500 ingénieurs de WhatsApp pouvaient accéder librement aux données des utilisateurs sans qu’aucun contrôle de sécurité approprié ne soit en place pour enregistrer leurs actions.

Un porte-parole de Whatsapp a déclaré que la plainte de M. Baig avait déjà été rejetée par le ministère du Travail et qu’elle « présente sous un faux jour le travail acharné de nos équipes ».

Concrètement, ni WhatsApp ni Meta ne tirent profit de la vente des données utilisateur. Au contraire, le modèle économique de Meta repose sur sa capacité à vendre des publicités hyperciblées qui s’adressent directement à un groupe démographique particulier.

Plus les plateformes de Meta telles que Facebook et WhatsApp disposent d’informations sur votre vie (le téléphone que vous utilisez, vos heures de connexion habituelles, les marques avec lesquelles vous avez interagi via les Chaînes), plus votre profil peut être établi avec précision afin de déterminer si vous correspondez au mieux à une publicité personnalisée.

Bien que, par défaut, WhatsApp ne partage pas d’informations personnelles avec Meta à des fins publicitaires, l’activation du Centre de comptes permet à Meta d’utiliser les métadonnées qu’il collecte à partir de WhatsApp à des fins publicitaires.

En plus du chiffrement de bout en bout, WhatsApp inclut toute une série de fonctionnalités utiles en matière de confidentialité, notamment certaines qui sont intéressantes sur le plan de la confidentialité physique.

Par exemple, toutes les conversations que vous ne souhaitez pas voir apparaître dans votre flux WhatsApp principal peuvent être masquées dans un dossier « Discussions verrouillées » sécurisé à l’aide de la méthode d’authentification de votre choix, telle qu’un mot de passe ou une empreinte digitale.

WhatsApp vous permet également de décider de la durée d’affichage d’un message avant qu’il ne soit définitivement supprimé pour tous les utilisateurs, ainsi que d’envoyer des photos, des vidéos et des messages vocaux à usage unique.

Si vous craignez toujours que vos messages soient divulgués, vous pouvez également activer la confidentialité avancée des discussions, qui empêche l’exportation des fichiers multimédias ou des registres de discussion et bloque tout participant souhaitant utiliser Meta AI.

Meta collecte les données de WhatsApp par de nombreux moyens.

Dans les cas où vous :

• Utilisez des comptes professionnels
• Utilisez l’onglet Mises à jour
• Envoyez des messages via Meta AI

Il est donc presque certain que vous transmettez du contenu plutôt que des métadonnées, tous ces éléments pouvant être analysés par Meta et transmis à des tiers.

WhatsApp diffuse également des publicités dans les onglets Statut et Chaînes. Elles vous sont présentées en fonction de quelques points de données semi-anonymisées, telles que votre code pays et votre âge, la langue de votre appareil, votre emplacement général (WhatsApp précise que ces données peuvent aller jusqu’à indiquer une ville précise) ou toute interaction que vous avez eue avec les statuts ou les chaînes sous l’onglet Mises à jour, y compris les interactions avec des publicités diffusées précédemment.

Pour couronner le tout, l’intégration de WhatsApp à votre compte Facebook via le Centre de comptes unifie vos préférences publicitaires sur les deux plateformes Meta.

Au strict minimum, il est recommandé de :

• Activer les sauvegardes chiffrées pour empêcher l’accès aux données sauvegardées dans le cloud
• Activer « Confidentialité avancée des discussions » pour désactiver les fonctionnalités d’IA dans les discussions et éviter qu’elles ne soient exportées
• Activer la vérification en deux étapes pour sécuriser votre compte
• Désactivez l’intégration du Centre de comptes pour empêcher le regroupement d’informations entre les services Meta

Option radicale : vous pouvez supprimer l’intégralité de votre compte en vous rendant dans Paramètres > Compte > Supprimer le compte et en saisissant votre numéro de téléphone pour confirmer.

Cette option permet de supprimer les informations de votre compte et votre photo de profil, de vous retirer de tous les groupes WhatsApp et d’effacer l’historique de vos messages sur l’appareil que vous utilisez. La procédure de suppression prend toutefois 90 jours à compter du moment où vous en faites la demande. WhatsApp peut également conserver de manière arbitraire toute donnée pendant une période plus longue, pourvu que cela soit justifié légalement.

N’interagissez pas avec l’onglet Mises à jour, n’envoyez pas de messages aux comptes professionnels et n’utilisez pas Meta AI. L’activation de la confidentialité avancée pour chaque discussion à laquelle vous participez empêche Meta AI d’être activé. Il est également possible d’utiliser WhatsApp à partir d’un téléphone jetable avec une carte SIM distincte si vous craignez que vos métadonnées soient transmises à Meta. Dans ce cas, il serait également judicieux d’utiliser un VPN ou Tor fiable pour masquer votre adresse IP.

Si vous cherchez une alternative, Signal offre la plupart des avantages et des fonctionnalités de confidentialité de WhatsApp, mais sans l’intégration de l’écosystème Meta. Signal est presque entièrement Open Source, à la fois côté client et côté serveur, ce qui permet de vérifier beaucoup plus facilement que son chiffrement de bout en bout est fiable.