Après de nouvelles failles de sécurité constatées par WhatsApp, Pavel Durov, cofondateur et directeur général de Telegram, accuse l'application concurrente de ne pas être sûre pour ses utilisateurs… même quand elle est à jour.
«Chaque année, nous apprenons un problème avec WhatsApp qui met en danger tout ce qui se trouve sur les appareils de ses utilisateurs» : dans un message posté sur Telegram le 5 octobre, Pavel Durov, cofondateur de l’application de messagerie cryptée ainsi que du réseau social russe Vkontakte a mené une charge en règle contre son concurrent américain.
L’entrepreneur d’origine russe et naturalisé français a renvoyé vers le compte rendu des mises à jour de WhatsApp, où cette plateforme de Facebook indique avoir déployé en septembre 2022 deux correctifs pour des vulnérabilités pouvant «entraîner l’exécution de codes à distance» lors d’un appel vidéo ou de l’envoi d’un fichier vidéo. Bref, via une simple visio’ passée sur WhatsApp, un hacker pouvait prendre le contrôle d’un téléphone portable.
Pavel Durov énumère ainsi une liste d’incidents similaires parus dans la presse en 2020, 2019, 2018 ou encore 2017. Quant aux années précédentes, «WhatsApp n’avait pas du tout de cryptage», assène-t-il.
Ce faisceau d’éléments fait dire au patron de Telegram que, même à jour, l’application de son concurrent demeurerait une menace pour ses utilisateurs. «Il est presque certain qu’une nouvelle faille de sécurité existe déjà», estime l’entrepreneur, avant de poursuivre : «De tels problèmes ne sont pas fortuits, si une porte dérobée est découverte et doit être supprimée, une autre est ajoutée.»
Dans un programme, une «porte dérobée» (backdoor en anglais) est un accès secret installé par le développeur ou un tiers. Véritable cheval de Troie, cet accès inconnu de l’utilisateur permet par exemple de surveiller à distance l’activité d’un appareil ou d’en prendre le contrôle et permet aux développeurs de pouvoir, quand cela est nécessaire, mener des actions de maintenance sur le logiciel.
«C’est un outil de surveillance depuis 13 ans», accuse Pavel Durov
Dans une publication sur la plateforme de blog anonyme Telegraph (appartenant à Telegram) datant de 2019, Durov accusait sans détour les autorités américaines d’imposer aux entreprises sur leur territoire l’installation de telles portes dérobées. «Il n’est pas facile de faire fonctionner une application de communication sécurisée depuis les Etats-Unis. Une seule semaine passée par notre équipe aux Etats-Unis en 2016 nous a valu trois tentatives d’infiltration par le FBI», rapportait-il alors, avant d’interroger en visant explicitement WhatsApp : «Imaginez ce que 10 ans dans cet environnement peuvent faire à une entreprise basée aux Etats-Unis.»
Si vous avez installé WhatsApp sur votre téléphone, toutes vos données de chaque application sur votre appareil sont accessibles
Des portes dérobées qui ne serviraient pas exclusivement aux services de renseignements. Selon une révélation de The Guardian en janvier 2020, le téléphone du patron d’Amazon, Jeff Bezos, aurait été hacké grâce à un message WhatsApp envoyé depuis le compte du prince héritier d’Arabie saoudite Mohammed ben Salman, nommé Premier ministre fin septembre. «De grandes quantités de données ont été exfiltrées du téléphone de Bezos en quelques heures», relate le média britannique, le tout quatre mois avant l’assassinat du journaliste saoudien Jamal Khashoggi, contributeur du Washington Post, média détenu par Jeff Bezos.
«Peu importe que vous soyez la personne la plus riche du monde – si vous avez installé WhatsApp sur votre téléphone, toutes vos données de chaque application sur votre appareil sont accessibles», tacle Pavel Durov, qui réfute toute intention de faire la promotion de sa propre application. «Vous pouvez utiliser n’importe quelle application de messagerie que vous voulez, mais restez à l’écart de WhatsApp – c’est un outil de surveillance depuis maintenant 13 ans», conclut le directeur général de Telegram.
Du côté de WhatsApp, pas de doute : «Nous avons conçu un chiffrement de bout en bout de pointe» [end-to-end encryption], c’est-à-dire un système de communication où seules les personnes qui communiquent peuvent lire les messages échangés. «Personne d’autre, pas même WhatsApp, ne peut lire ni écouter [vos messages et appels]», affirme l’entreprise sur son site. En juillet 2021, WhatsApp a néanmoins porté plainte contre le groupe NSO, admettant que le logiciel Pegasus avait permis d’espionner en 2019 plus de 1 400 utilisateurs de la messagerie.
Want to keep your account extra secure? We've got the perfect feature combo for it ⬇️ pic.twitter.com/BNnISMeHhL
— WhatsApp (@WhatsApp) October 4, 2022
Crée par deux ex-employés de Yahoo en 2009, racheté par Facebook en 2013, WhatsApp est aujourd’hui le service de messagerie le plus prisé au monde avec deux milliards d’utilisateurs chaque mois.
Facebook oblige les utilisateurs de WhatsApp à lui transmettre plus de données personnelles