Après plusieurs mois d’attente et une première tentative infructueuse, Meta semble enfin avoir trouvé une solution pour sécuriser les messages éphémères sur WhatsApp. Un correctif très attendu est désormais disponible, même s’il présente encore quelques failles.
Cela aura pris trois mois à Meta pour résoudre un problème majeur affectant le mode « Vue unique » de WhatsApp. Pour rappel, Tal Be’ery, chercheur chez Zengo, avait révélé une mauvaise implémentation de cette fonctionnalité sur la version web de la messagerie. Ce bug permettait à toute personne ayant accès à la clé de déchiffrement des messages de sauvegarder et partager des photos éphémères, malgré leur caractère temporaire. Des extensions de navigateurs exploitant cette faille ont rapidement vu le jour, compromettant la confidentialité des utilisateurs. Un premier correctif, proposé par Meta, a été contourné en moins d’une semaine. Depuis, peu d’informations avaient filtré sur une solution durable, jusqu’à aujourd’hui.
Un second correctif discret, mais fonctionnel
Meta a adopté une approche discrète pour corriger cette faille. Mi-novembre, un second patch a été déployé sans communication officielle. Cependant, selon Tal Be’ery, la faille était toujours active au 12 novembre. Ce n’est que quatre jours plus tard que les premières indications d’un correctif sont apparues : plusieurs utilisateurs des extensions exploitant la vulnérabilité ont signalé que ces plugins ne fonctionnaient plus. Cela indique que Meta aurait modifié les paramètres côté serveur pour bloquer l’exploitation du bug.
Des tests réalisés en laboratoire ont confirmé l’efficacité de ce nouveau correctif. Selon les analyses de Be’ery, les messages en mode « Vue unique » s’affichent désormais correctement sur l’application mobile de WhatsApp et ne peuvent plus être visionnés sur la version web, même avec des clients modifiés. Les utilisateurs reçoivent désormais un message d’erreur les invitant à consulter les contenus sur leur smartphone, signe que Meta a enfin trouvé une solution viable.
La confidentialité des métadonnées en question
Cependant, malgré cette avancée, Tal Be’ery a mis en lumière certains compromis dans la gestion de la confidentialité. Une analyse des clients web officiels et open source de WhatsApp a révélé que les messages éphémères contiennent des métadonnées non chiffrées. Celles-ci incluent le numéro de téléphone, le pseudo WhatsApp, l’appareil utilisé, et d’autres informations comme le type de message envoyé (média, vue unique). Ces métadonnées permettent aux serveurs de Meta d’identifier la nature des fichiers envoyés et de bloquer leur affichage sur les clients web.
Le chiffrement de bout en bout, qui protège le contenu des messages, ne s’applique donc pas à ces métadonnées. Cette situation soulève des questions sur la confidentialité réelle des utilisateurs, même si le contenu des messages reste sécurisé. C’est un peu comme une lettre protégée dans une enveloppe, mais dont les détails extérieurs (adresse de l’expéditeur, cachet postal) peuvent être tracés.
Un compromis nécessaire pour renforcer la confidentialité des médias
Dans cette nouvelle mise à jour, Meta semble avoir fait le choix de limiter l’anonymat des utilisateurs pour mieux protéger les médias envoyés en « Vue unique ». Bien que ce compromis puisse poser des questions sur la confidentialité des métadonnées, Be’ery souligne que la situation s’est considérablement améliorée par rapport à l’état initial. Le bug qui permettait de sauvegarder et partager à volonté des messages éphémères a été corrigé, même si le patch n’est pas parfait.
Ainsi, malgré des lacunes persistantes, cette nouvelle version de la fonctionnalité marque une étape importante dans la sécurisation des messages temporaires sur WhatsApp, tout en illustrant les défis permanents liés à la gestion de la confidentialité dans le monde numérique.
