Envoyer des messages à d’autres plateformes via WhatsApp : avantages et inconvénients

En réponse aux réglementations de l’UE, WhatsApp proposera bientôt l’interopérabilité avec d’autres messageries. En avons-nous besoin ? Et est-ce sécurisé ?

Le règlement sur les marchés numériques (DMA) de l’UE impose aux grandes entreprises technologiques de rendre leurs produits plus ouverts et interopérables, afin de stimuler la concurrence. Grâce au DMA, iOS permettra bientôt l’installation de boutiques d’applications tierces, et les principales plateformes de messagerie devront autoriser la communication avec d’autres applications similaires afin de garantir la compatibilité entre les plateformes. Les ingénieurs de Meta (Facebook) ont récemment expliqué en détail comment cette compatibilité sera mise en œuvre dans WhatsApp et Messenger. Les avantages de l’interopérabilité sont clairs pour quiconque a déjà envoyé un SMS ou un email. Vous pourrez envoyer et recevoir des messages sans vous soucier de l’application, du téléphone ou de l’ordinateur utilisé par votre correspondant, ni du pays dans lequel il se trouve. Cependant, il y a des inconvénients : d’abord, des tiers (allant des agences de renseignement aux pirates informatiques) ont souvent accès à vos échanges ; ensuite, ces messages constituent des cibles de choix pour les spams et le phishing. Alors, le DMA saura-t-il garantir l’interopérabilité et ses avantages, tout en écartant ses inconvénients ?

Il est important de noter que si les effets du DMA sur l’App Store iOS ne toucheront que les utilisateurs de l’UE, la messagerie multiplateforme aura probablement un impact sur tout le monde, y compris si les partenaires de l’UE sont les seuls à se connecter à l’infrastructure WhatsApp.

Pouvez-vous discuter sur WhatsApp avec des utilisateurs d’autres plateformes ?

En théorie, oui, mais dans la pratique, pas encore. Meta a communiqué les caractéristiques et les exigences techniques que devront respecter les partenaires qui souhaitent que leurs applications soient interopérables avec WhatsApp ou Messenger. Il appartient maintenant à ces partenaires de prendre le train en marche et de développer une passerelle fonctionnelle entre leur service et WhatsApp. À ce jour, aucun partenariat de ce type n’a encore été annoncé.

Les propriétaires et les développeurs d’autres services de messagerie peuvent être réticents à l’idée de mettre en œuvre une telle fonctionnalité. Certains la considèrent peu sûre, tandis que d’autres ne sont pas disposés à investir des ressources dans une intégration relativement complexe. Meta exige de ses partenaires potentiels qu’ils mettent en œuvre un chiffrement de bout en bout (E2EE) au moins aussi efficace que celui de WhatsApp, ce qui constitue un défi de taille pour de nombreuses plateformes.

Même lorsque des services tiers feront leur apparition (à supposer que ce soit bien le cas), seuls les utilisateurs de WhatsApp qui auront explicitement choisi d’utiliser cette fonctionnalité pourront envoyer des messages d’une plateforme à l’autre. Elle ne sera pas activée par défaut.

À quoi ressemblera un tel système de messagerie ?

Si l’on se réfère aux versions bêta de WhatsApp, les messages échangés avec des utilisateurs d’autres plateformes seront conservés dans une section distincte de l’application, afin de pouvoir les différencier des discussions avec les utilisateurs de WhatsApp.

Dans un premier temps, seuls les messages individuels et le partage de fichiers, d’images et de vidéos seront pris en charge. Les appels et les discussions de groupe ne seront pas disponibles avant au moins un an.

La question de l’identification de l’utilisateur, quant à elle, reste ouverte. Sur WhatsApp, les utilisateurs se trouvent grâce à leur numéro de téléphone, tandis que sur Facebook, ils se trouvent grâce à leur nom, à leur lieu de travail, à leur école, aux amis de leurs amis ou à d’autres informations similaires (et, en fin de compte, grâce à un identifiant unique). D’autres plateformes peuvent utiliser des informations incompatibles avec WhatsApp, comme les pseudos courts dans Discord ou les identifiants alphanumériques dans Threema. Cette situation est susceptible d’entraver la recherche automatique et la mise en relation des utilisateurs, tout en facilitant les attaques par usurpation d’identité de la part d’escrocs.

Défis liés au chiffrement

L’un des enjeux clés de l’intégration des différentes plateformes de messagerie est la mise en œuvre d’un chiffrement fiable. Même si deux plateformes utilisent le même protocole de chiffrement, des problèmes techniques peuvent se poser en matière de stockage et d’accord de clés, d’authentification des utilisateurs, etc.

Si la méthode de chiffrement diffère considérablement, une passerelle, c’est-à-dire un serveur intermédiaire qui déchiffre les messages d’un protocole et les chiffre à nouveau dans un autre, sera probablement nécessaire. S’il vous semble qu’il s’agit d’une attaque de l’homme du milieu (MITM), dans le cadre de laquelle le piratage de ce serveur permettrait l’espionnage, vous tapez dans le mille. L’échec de l’application Nothing Chats, qui utilisait un système similaire pour permettre l’utilisation d’iMessage sur Android, a récemment mis en évidence cette vulnérabilité. Même les efforts de Meta sont révélateurs : la messagerie chiffrée entre Messenger et Instagram a été annoncée il y a plus de cinq ans, mais le chiffrement intégral dans Messenger est arrivé uniquement en décembre dernier, et le chiffrement E2EE transparent dans Instagram n’est toujours pas entièrement fonctionnel à ce jour. Comme cet article détaillé l’explique, ce retard n’est pas dû à de la paresse ou à un manque de temps, mais plutôt à la grande complexité technique du projet.

Les cryptographes sont généralement très sceptiques concernant le chiffrement E2EE multiplateforme. Certains experts pensent qu’il est possible de résoudre le problème, par exemple en intégrant directement la passerelle à l’ordinateur de l’utilisateur ou en faisant en sorte que toutes les plateformes adoptent un protocole de messagerie unique et décentralisé. Cependant, les gros poissons du marché de la messagerie ne nagent pas du tout dans cette direction. Il est difficile de les accuser de paresse ou d’inaction, car l’expérience pratique montre que le chiffrement fiable et simple d’utilisation des messages dans des écosystèmes ouverts est difficile à mettre en œuvre. Il suffit de jeter un œil à la saga du chiffrement PGP pour les emails et aux aveux des plus grands experts en chiffrement.

Après avoir rassemblé des informations concernant les plans d’intégration de WhatsApp/Messenger sur les principales plateformes de communication, nous avons évalué la faisabilité technique d’une fonctionnalité multiplateforme :

Services Déclaration sur la compatibilité avec WhatsApp Compatibilité du chiffrement
Discord Aucune Chiffrement E2EE non pris en charge, intégration peu probable.
iMessage Aucune Utilise son propre chiffrement, d’une efficacité comparable à celui de WhatsApp.
Matrix Intéressé par l’intégration technique avec WhatsApp et prend en charge le DMA en général. Utilise son propre chiffrement, d’une efficacité comparable à celui de WhatsApp.
Signal Aucune Utilise le protocole Signal, comme WhatsApp.
Skype Aucune Utilise le protocole Signal, comme WhatsApp, mais pour les conversations privées uniquement.
Telegram Aucune La plupart des discussions ne sont pas chiffrées et les conversations privées sont chiffrées à l’aide d’un algorithme peu fiable.
Threema Préoccupé par les risques pour la vie privée associés à l’intégration de WhatsApp. Intégration peu probable. Utilise son propre chiffrement, d’une efficacité comparable à celui de WhatsApp.
Viber Aucune Utilise son propre chiffrement, d’une efficacité comparable à celui de WhatsApp.

Problèmes de sécurité

Au-delà des questions de chiffrement, l’intégration de divers services pose des défis supplémentaires en matière de protection contre les spams, le phishing et d’autres cybermenaces. Si vous recevez des spams sur WhatsApp, vous pouvez bloquer immédiatement l’expéditeur malveillant. Après avoir été bloqué par plusieurs utilisateurs, le spammeur voit sa capacité à envoyer des messages à des inconnus réduite. Reste à savoir dans quelle mesure ces techniques anti-spam fonctionneront avec des services tiers.

Un autre problème est la modération du contenu indésirable, depuis la pornographie jusqu’aux faux concours. La rapidité et la qualité des réponses apportées risquent de pâtir de la présence d’algorithmes et d’experts appartenant non pas à une, mais à deux entreprises.

Les questions de protection de la vie privée deviendront également plus complexes. Supposons que vous installiez l’application Skype et que vous partagiez dès lors des données avec Microsoft, qui les stocke. Dès que vous enverrez un message à quelqu’un sur WhatsApp depuis Skype, certaines informations vous concernant et concernant votre activité atterriront sur les serveurs de Meta. Soit dit en passant, WhatsApp a déjà mis en place un contrat d’invité pour ce type de cas. C’est cette question qui préoccupe l’équipe suisse derrière Threema, car elle craint que l’échange de messages avec les utilisateurs de WhatsApp n’entraîne la désanonymisation des utilisateurs de Threema.

De plus, il convient de ne pas oublier que l’annonce de la prise en charge multiplateforme est du pain béni pour les auteurs de programmes malveillants, car il sera beaucoup plus facile d’attirer des victimes grâce à des « mods WhatsApp pour les messages avec Telegram » ou à d’autres propositions fictives. Parmi tous les problèmes qui se posent, celui-ci est néanmoins le plus facile à résoudre, car il suffira d’installer uniquement des applications provenant des boutiques officielles et d’utiliser une protection fiable sur vos smartphones et vos ordinateurs.

Que faire ?

Si vous utilisez WhatsApp et si vous souhaitez envoyer des messages aux utilisateurs d’autres services :

Comptez à peu près le nombre de personnes de votre entourage qui n’utilisent pas WhatsApp et qui utilisent d’autres plateformes ayant annoncé l’interopérabilité avec WhatsApp. S’il y en a peu, il vaut mieux ne pas activer la prise en charge de toutes les messageries tierces, car les risques de spams et de messages indésirables l’emportent sur les avantages potentiels.

Si ces personnes sont nombreuses, demandez-vous si vous aborderez des sujets confidentiels. Même en tenant compte des exigences de chiffrement de Meta, la messagerie multiplateforme via une passerelle doit être considérée comme vulnérable aux interceptions et aux manipulations non autorisées. Par conséquent, il est préférable d’utiliser une seule messagerie sécurisée (comme Signal) pour les communications confidentielles.

Si vous estimez que WhatsApp + une messagerie tierce est la meilleure solution, veillez à optimiser les paramètres de confidentialité de WhatsApp et méfiez-vous des messages étranges, en particulier de la part d’inconnus, mais également de la part d’amis abordant des sujets inhabituels. Assurez-vous bien que la personne qui vous parle est celle qu’elle prétend être et qu’il ne s’agit pas d’un escroc qui vous envoie un message par l’intermédiaire d’un service tiers.

Si vous utilisez une autre messagerie ayant annoncé l’interopérabilité avec WhatsApp :

Même s’il peut être intéressant de pouvoir communiquer avec tous les utilisateurs de WhatsApp à partir de votre messagerie préférée, si vous utilisez une autre messagerie pour renforcer votre confidentialité, le fait de vous connecter à WhatsApp risque d’amoindrir cette dernière. Les services de Meta collecteront certaines métadonnées au cours de vos conversations, ce qui pourrait entraîner la désanonymisation de votre compte et rendre votre passerelle de chiffrement vulnérable aux espionnages. D’une manière générale, il est déconseillé d’activer cette fonctionnalité dans les messageries sécurisées, si celle-ci devient disponible.

Conseils pour tous

Méfiez-vous des « mods » et des applications méconnues qui vous promettent une messagerie multiplateforme et d’autres merveilles. Derrière leur interface séduisante se cache probablement un programme malveillant. Veillez à installer une protection sur votre ordinateur et sur votre smartphone afin d’empêcher les pirates informatiques de voler directement vos échanges depuis des messageries légitimes.

Conseils