Le fondateur de l'application de messagerie instantanée Telegram, Pavel Durov, a exhorté les mobinautes à utiliser « n'importe quelle application de messagerie » à l'exception de WhatsApp pour éviter que leur téléphone ne soit piraté. Il a déclaré sur sa chaîne Telegram que WhatsApp était un outil de surveillance depuis 13 ans et que les mobinautes devraient rester à l'écart de l'application de messagerie. Il a rappelé que chaque année, il y avait un problème avec WhatsApp qui mettait en danger les données de ses utilisateurs.« Je ne pousse pas les gens à passer à Telegram ici. Avec plus de 700 millions d'utilisateurs actifs et plus de 2 millions d'inscriptions quotidiennes, Telegram n'a pas besoin de promotion supplémentaire. Vous pouvez utiliser n'importe quelle application de messagerie que vous aimez, mais restez à l'écart de WhatsApp, qui est désormais un outil de surveillance depuis 13 ans », a déclaré Durov sur sa chaîne.
Il a noté que les pirates pourraient avoir un accès complet à tout sur les téléphones des utilisateurs de WhatsApp en raison d'un problème de sécurité que la plateforme a révélé la semaine dernière. Tout ce qu'un pirate informatique doit faire pour accéder à toutes les données de son téléphone est d'envoyer une vidéo malveillante ou de démarrer un appel vidéo.
Durov a déclaré que si l'on pense que la mise à jour de WhatsApp vers la dernière version rendrait leurs données sûres, ce n'est pas vraiment le cas. Il a ajouté qu'un problème similaire avait été découvert en 2017 et 2018, puis en 2019, puis à nouveau en 2020. Avant 2016, WhatsApp n'avait pas de chiffrement de bout en bout, a souligné Durov.
Envoyé par Pavel Durov
Les pirates pourraient avoir un accès complet (!) à tout ce qui se trouve sur les téléphones des utilisateurs de WhatsApp.
Cela a été possible grâce à un problème de sécurité révélé par WhatsApp lui-même la semaine dernière. Tout ce qu'un pirate informatique devait faire pour contrôler votre téléphone était de vous envoyer une vidéo malveillante ou de démarrer un appel vidéo avec vous sur WhatsApp.
Vous pensez probablement "Ouais, mais si je mets à jour WhatsApp vers la dernière version, je suis en sécurité, non" ?
Pas vraiment.
Un problème de sécurité WhatsApp exactement comme celui-ci a été découvert en 2018, puis un autre en 2019 et encore un autre en 2020. Et oui, en 2017 avant ça. Avant 2016, WhatsApp n'avait pas du tout de chiffrement.
Chaque année, nous découvrons un problème dans WhatsApp qui met tout en danger sur les appareils de leurs utilisateurs. Ce qui signifie qu'il est presque certain qu'une nouvelle faille de sécurité existe déjà là-bas. De tels problèmes ne sont pas fortuits – ils sont plantés par des portes dérobées. Si une porte dérobée est découverte et doit être supprimée, une autre est ajoutée.
Cela a été possible grâce à un problème de sécurité révélé par WhatsApp lui-même la semaine dernière. Tout ce qu'un pirate informatique devait faire pour contrôler votre téléphone était de vous envoyer une vidéo malveillante ou de démarrer un appel vidéo avec vous sur WhatsApp.
Vous pensez probablement "Ouais, mais si je mets à jour WhatsApp vers la dernière version, je suis en sécurité, non" ?
Pas vraiment.
Un problème de sécurité WhatsApp exactement comme celui-ci a été découvert en 2018, puis un autre en 2019 et encore un autre en 2020. Et oui, en 2017 avant ça. Avant 2016, WhatsApp n'avait pas du tout de chiffrement.
Chaque année, nous découvrons un problème dans WhatsApp qui met tout en danger sur les appareils de leurs utilisateurs. Ce qui signifie qu'il est presque certain qu'une nouvelle faille de sécurité existe déjà là-bas. De tels problèmes ne sont pas fortuits – ils sont plantés par des portes dérobées. Si une porte dérobée est découverte et doit être supprimée, une autre est ajoutée.
« C'est pourquoi j'ai supprimé WhatsApp de mes appareils il y a des années. L'avoir installé crée une porte pour entrer dans votre téléphone », a déclaré Durov.
Un message qui vient après un avis de sécurité publié par WhatsApp en septembre. L'application de Meta indique avoir publié un correctif pour une vulnérabilité qui pourrait permettre à un pirate d'exécuter du code arbitraire (et donc installer des logiciels malveillants) sur son appareil pendant un appel vidéo. La faille de sécurité a été classée comme étant « critique ». Une autre faille que WhatsApp a signalée pourrait permettre à un attaquant d'exécuter du code arbitraire après l'envoi d'une vidéo spécialement conçue.
Ce n'est pas la première fois que Pavel Durov met en garde contre WhatsApp
En 2019, le fondateur de Telegram avait déjà publié un billet intitulé « Pourquoi WhatsApp ne sera jamais sécurisé ». Ce qui suit est issu de ce billet.
Le monde semble choqué d'apprendre que WhatsApp a transformé n'importe quel téléphone en logiciel espion. Tout ce qui se trouve sur votre téléphone, y compris les photos, les e-mails et les SMS, peut être consulté par des attaquants simplement parce que WhatsApp est installé.
Cette nouvelle ne m'a cependant pas surpris. L'année dernière, WhatsApp a dû admettre qu'il avait un problème très similaire - un seul appel vidéo via WhatsApp était tout ce dont un pirate avait besoin pour accéder à toutes les données de votre téléphone.
Chaque fois que WhatsApp doit corriger une vulnérabilité critique dans son application, une nouvelle semble prendre sa place. Tous leurs problèmes de sécurité conviennent parfaitement à la surveillance, ressemblent et fonctionnent beaucoup comme des portes dérobées.
Contrairement à Telegram, WhatsApp n'est pas open source, il n'y a donc aucun moyen pour les chercheurs en sécurité de vérifier facilement s'il y a des portes dérobées dans son code. Non seulement WhatsApp ne publie pas son code, mais ils font exactement le contraire : WhatsApp obscurcit délibérément les binaires de leurs applications pour s'assurer que personne ne peut les étudier en profondeur.
WhatsApp et sa société mère Facebook peuvent même être obligés de mettre en place des portes dérobées - via des processus secrets tels que les injonctions du FBI. Il n'est pas facile d'exécuter une application de communication sécurisée depuis les États-Unis. Une seule semaine passée par notre équipe aux États-Unis en 2016 nous a valu trois tentatives d'infiltration par le FBI. Imaginez ce que 10 ans dans cet environnement peuvent faire à une entreprise basée aux États-Unis.
Les agences de sécurité utilisent les efforts antiterroristes pour justifier la plantation de portes dérobées. Le problème est que ces portes dérobées peuvent également être utilisées par des criminels et des gouvernements autoritaires. Pas étonnant que les dictateurs semblent aimer WhatsApp : son manque de sécurité leur permet d'espionner leur propre peuple, donc WhatsApp continue d'être librement disponible dans des endroits comme la Russie ou l'Iran, où Telegram est interdit par les autorités.
En fait, j'ai commencé à travailler sur Telegram en réponse directe à la pression personnelle des autorités russes. À l'époque, en 2012, WhatsApp transférait encore des messages en clair. C'était fou. Non seulement les gouvernements ou les pirates, mais les fournisseurs de téléphonie mobile et les administrateurs WiFi avaient accès à tous les textes WhatsApp.
Plus tard, WhatsApp a ajouté un chiffrement, qui s'est rapidement avéré être un stratagème marketing : la clé pour déchiffrer les messages était disponible pour au moins plusieurs gouvernements, y compris les Russes. Puis, alors que Telegram commençait à gagner en popularité, les fondateurs de WhatsApp ont vendu leur entreprise à Facebook et ont déclaré que « la confidentialité était dans leur ADN ». Si c'est vrai, il doit s'agir d'un gène dormant ou récessif.
Il y a 3 ans, WhatsApp a annoncé avoir mis en place un chiffrement de bout en bout afin « qu'aucun tiers ne puisse accéder aux messages ». Cela a coïncidé avec une poussée agressive pour que tous ses utilisateurs sauvegardent leurs discussions dans le cloud. Lors de cette poussée, WhatsApp n'a pas dit à ses utilisateurs que lorsqu'ils sont sauvegardés, les messages ne sont plus protégés par un chiffrement de bout en bout et peuvent être consultés par les pirates et les forces de l'ordre. Un marketing brillant, et certaines personnes naïves purgent leur peine en prison.
Les utilisateurs de WhatsApp suffisamment résilients pour ne pas tomber dans les fenêtres contextuelles constantes leur demandant de sauvegarder leurs discussions peuvent toujours être suivis par un certain nombre d'autres astuces - de l'accès aux sauvegardes de leurs contacts aux changements de clé de chiffrement invisibles. Les métadonnées générées par les utilisateurs de WhatsApp - journaux décrivant qui discute avec qui et quand - sont divulguées à toutes sortes d'agences en grand volume par la société mère de WhatsApp.
WhatsApp a une histoire cohérente - du chiffrement zéro à sa création à une succession de problèmes de sécurité étrangement adaptés à des fins de surveillance. Avec le recul, il n'y a pas eu un seul jour dans le voyage de 10 ans de WhatsApp où ce service était sécurisé. C'est pourquoi je ne pense pas que la simple mise à jour de l'application mobile de WhatsApp la rendra sécurisée pour quiconque. Pour que WhatsApp devienne un service axé sur la confidentialité, il doit risquer de perdre des marchés entiers et de se heurter aux autorités de son pays d'origine. Ils ne semblent pas prêts pour cela.
L'année dernière, les fondateurs de WhatsApp ont quitté l'entreprise en raison de préoccupations concernant la confidentialité des utilisateurs. Ils sont sûrement liés par des injonctions du FBI ou des NDA (Non Disclosure Agreement), ils ne sont donc pas en mesure de discuter publiquement des portes dérobées sans risquer leur fortune et leur liberté. Ils ont cependant pu admettre « qu'ils ont vendu la vie privée de leurs utilisateurs ».
Je peux comprendre la réticence des fondateurs de WhatsApp à fournir plus de détails - il n'est pas facile de mettre votre confort en danger. Il y a plusieurs années, j'ai dû quitter mon pays après avoir refusé de me conformer aux violations de la vie privée des utilisateurs de VK sanctionnées par le gouvernement. Ce n'était pas agréable. Mais est-ce que je referais quelque chose comme ça ? Volontiers. Chacun de nous finira par mourir, mais nous, en tant qu'espèce, resterons dans les parages pendant un certain temps. C'est pourquoi je pense qu'accumuler de l'argent, de la renommée ou du pouvoir n'est pas pertinent. Servir l'humanité est la seule chose qui compte vraiment à long terme.
Et pourtant, malgré nos intentions, j'ai l'impression que nous avons laissé tomber l'humanité dans toute cette affaire de logiciels espions WhatsApp. Beaucoup de gens ne peuvent pas arrêter d'utiliser WhatsApp, car leurs amis et leur famille y sont toujours. Cela signifie que chez Telegram, nous avons fait du mauvais travail pour persuader les gens de changer. Bien que nous ayons attiré des centaines de millions d'utilisateurs au cours des cinq dernières années, cela n'a pas suffi. La majorité des internautes sont toujours pris en otage par l'empire Facebook/WhatsApp/Instagram. Beaucoup de ceux qui utilisent Telegram sont également sur WhatsApp, ce qui signifie que leurs téléphones sont toujours vulnérables. Même ceux qui ont complètement abandonné WhatsApp utilisent probablement encore Facebook ou Instagram, qui pensent tous deux qu'il est acceptable de stocker vos mots de passe en clair (je n'arrive toujours pas à croire qu'une entreprise de technologie puisse faire quelque chose comme ça et s'en tirer à bon compte).
Au cours de ses presque 6 années d'existence, Telegram n'a pas eu de fuites de données majeures ou de failles de sécurité du type que WhatsApp démontre tous les quelques mois. Au cours des mêmes 6 années, nous avons divulgué exactement zéro octet de données à des tiers, tandis que Facebook/WhatsApp a partagé à peu près tout avec tous ceux qui prétendaient travailler pour un gouvernement.
Peu de personnes en dehors de la communauté des fans de Telegram se rendent compte que la plupart des nouvelles fonctionnalités de messagerie apparaissent d'abord sur Telegram, puis sont copiées par WhatsApp dans les moindres détails. Plus récemment, nous assistons à la tentative de Facebook d'emprunter toute la philosophie de Telegram, Zuckerberg déclarant soudainement l'importance de la confidentialité et de la vitesse, citant pratiquement mot pour mot la description de l'application de Telegram dans son discours F8.
Mais se plaindre de l'hypocrisie et du manque de créativité de Facebook n'aidera pas. Nous devons admettre que Facebook exécute une stratégie efficace. Regardez ce qu'ils ont fait à Snapchat.
Chez Telegram, nous devons reconnaître notre responsabilité dans la formation de l'avenir. C'est soit nous, soit le monopole de Facebook. C'est soit la liberté et la vie privée, soit la cupidité et l'hypocrisie. Notre équipe est en concurrence avec Facebook depuis 13 ans. Nous les avons déjà battus une fois, sur le marché des réseaux sociaux d'Europe de l'Est. Nous les battrons à nouveau sur le marché mondial de la messagerie. Nous le devons.
Ce ne sera pas facile. Le département marketing de Facebook est énorme. Chez Telegram, cependant, nous ne faisons aucun marketing. Nous ne voulons pas payer des journalistes et des chercheurs pour parler au monde de Telegram. Pour cela, nous comptons sur vous, les millions de nos utilisateurs. Si vous aimez assez Telegram, vous en parlerez à vos amis. Et si chaque utilisateur de Telegram persuade 3 de ses amis de supprimer WhatsApp et de passer définitivement à Telegram, Telegram sera déjà plus populaire que WhatsApp.
L'ère de la cupidité et de l'hypocrisie prendra fin. Une ère de liberté et d'intimité va commencer. Elle est beaucoup plus proche qu'il n'y paraît.
Sources : Pavel Durov (1, 2), WhatsApp
Et vous ?
Quelle(s) application(s) de messagerie utilisez-vous ? Pourquoi (la plupart de vos contacts y sont, c'est obligatoire au travail, les fonctionnalités vous intéressent) ? Que pensez-vous des propos de Pavel Durov au sujet de WhatsApp ? Partagez-vous son point de vue sur WhatsApp lorsqu'il affirme qu'il s'agit d'un outil d'espionnage et qu'il pense à des portes dérobées ? 
