Facebook aurait accès à certains messages privés, même chiffrés


Une enquête excessivement détaillée du site ProPublica affirme qu’une équipe de modérateurs constituée en 2019 aurait accès à une partie des contenus échangés sur WhatsApp. Une atteinte au chiffrement de bout en bout, pourtant promis par l’application de messagerie détenue par Facebook.

WhatsApp sur un Galaxy S20.

WhatsApp sur un Galaxy S20.

Depuis que Facebook a racheté WhatsApp en 2014, la question de la protection de la vie privée et de la confidentialité des échanges s’est toujours posée. La firme de Mark Zuckerberg n’est pas parvenue à convaincre totalement ses utilisateurs, déclenchant même en début d’année un exode massif vers Signal et Telegram.

Un article publié sur le site de ProPublica risque d’asséner le coup de grâce. Selon cet article, le chiffrement de bout en bout ne serait tout simplement pas assuré sur WhatsApp.

C’est une révélation d’autant plus perturbante que c’est sur cette promesse que l’entièreté du business de WhatsApp est basée. Si cet été, on apprenait que Facebook cherchait à lire les messages des utilisateurs sans remettre en cause le chiffrement, on ne pensait pas que WhatsApp avait d’ores et déjà accès au contenu de certains messages.

L’article révélant ces informations est une enquête au long court. Il s’agit d’un article très long et complexe, qui plus est en anglais. Voici les points à retenir de sa lecture.

Une équipe de modérateurs aurait accès au message

Selon ProPublica, plus de 1000 personnes travaillant pour un sous-traitant de WhatsApp feraient office de modérateurs depuis 2019. Chacun examinerait environ 600 signalements par jour. Ces signalements auraient pour but de faire remonter des messages ou des contenus violant potentiellement les conditions d’utilisation de WhatsApp. On parle par exemple de contenus violents, ou de projets d’attentats, etc.

Là où cette affaire est problématique, c’est que WhatsApp est censé garantir le chiffrement de bout en bout de ses messages. Le fait que des modérateurs puissent lire les contenus échangés est une grave infraction à ce principe.

WhatsApp sur un iPhone

WhatsApp sur un iPhone // Source : Jeremy Zero

Pour construire son enquête, le site indique avoir interviewé 29 modérateurs (anciens ou actuels), qui ont tous été recrutés par une société appelée Accenture, un sous-traitant de Facebook, et donc de WhatsApp.

Comment ça marche ?

Il y a trois cas précis évoqués dans l’article de ProPublica où WhatsApp aurait collecté des données sur ses utilisateurs à des fins de modération.

Les métadonnées

Le premier cas évoqué par l’article ne remet pas en question le principe du chiffrement de bout en bout, et il était déjà connu des experts du sujet.

En deux mots, il est arrivé que « WhatsApp partage les métadonnées des utilisateurs, qui peuvent en dire long sur son activité, avec des organismes chargés de l’application de la loi tel que le ministère de la Justice », peut-on lire dans l’article. C’est l’une des différences majeures avec un service comme Signal, qui récupère beaucoup moins de métadonnées sur ses utilisateurs.

Logo WhatsApp

Source : Alexandre Chatov

L’idée est par exemple de prouver que vous avez échangé avec une personne recherchée pour un crime, afin de vous poursuivre en justice, surtout si vous avez par exemple affirmé n’avoir jamais échangé avec cette personne.

L’article cite d’ailleurs un cas très précis. Ces métadonnées auraient par exemple permis « à des procureurs de monter un dossier très médiatisé contre un employé du département du Trésor qui a divulgué des documents confidentiels à BuzzFeed News, qui ont révélé comment l’argent sale circule dans les banques américaines. »

On voit bien que sans même remettre en question le chiffrement de bout en bout, les seules données récoltées en clair par WhatsApp viennent remettre en question la confidentialité des échanges en eux-mêmes. Mais il y a pire.

Les signalements

Les fameux modérateurs de WhatsApp (la firme préfère parler d’examinateur), dont on apprend aujourd’hui l’existence, passeraient leur journée devant un écran à examiner des tickets, qui signalent de potentiels abus, pour déterminer si oui ou non il y a bien eu un abus, et décider ainsi de la marche à suivre.

Les modérateurs peuvent classer les tickets de trois manières : soit ils décident de ne rien faire, car le contenu ne pose pas de souci, soit ils placent l’utilisateur « sous surveillance » pour un examen plus approfondi, soit ils bannissent le compte.

WhatsApp sur iPhone

WhatsApp sur iPhone // Source : @acreativegangster via Unsplash

Mais si les données échangées entre les utilisateurs de WhatsApp sont chiffrées, comment font les modérateurs pour les lire concrètement ?

Il y a deux manières pour qu’un ticket parvienne jusqu’à eux. La première est assez simple. Il suffit qu’un utilisateur appuie sur le bouton signaler de l’application, pour identifier un contenu « violant les conditions de la plateforme ». Selon d’anciens modérateurs de WhatsApp, cette seule action permettrait d’accéder à cinq messages : celui incriminé, et les quatre précédents. Cela inclut les vidéos et images sans aucune forme de brouillage.

Si les modérateurs ont accès d’une manière ou d’une autre à des échanges, alors le chiffrement de bout en bout n’est pas assuré.

Scan par une intelligence artificielle

La deuxième manière pour qu’un ticket parvienne jusqu’à un modérateur est un peu plus confuse. Elle impliquerait l’intervention d’une intelligence artificielle qui scannerait toutes les données non chiffrées d’un compte. Et autant vous le dire, elles sont nombreuses.

On trouverait : « les noms et les images de profil des groupes WhatsApp d’un utilisateur, ainsi que son numéro de téléphone, sa photo de profil, son message de statut, le niveau de la batterie du téléphone, la langue et le fuseau horaire, l’identifiant unique du téléphone mobile et l’adresse IP, la puissance du signal sans fil et le système d’exploitation du téléphone, comme une liste de ses appareils électroniques, tout compte Facebook et Instagram associé, la dernière fois qu’il a utilisé l’application et tout historique d’infractions. »

WhatsApp

Source : Christian Wiediger via Unsplash

Un des modérateurs explique que cette IA est loin d’être parfaite : « Il y avait beaucoup de photos innocentes qui n’avaient pas à y figurer », a déclaré Carlos Sauceda, qui a quitté Accenture l’année dernière après neuf mois. « Cela pouvait être la photo d’un enfant prenant un bain, et il n’y avait rien de mal à cela. »

On ignore cependant un point crucial. Lorsque l’intelligence artificielle signale un compte comme potentiellement dangereux à un modérateur, est-ce que le modérateur a accès aux échanges ? Si oui, là aussi, le chiffrement de bout en bout ne serait plus assuré.

Réponse de Facebook

Facebook ne semble pas avoir pris la mesure de l’énormité de ce que révèle cette enquête. Dans sa réponse à ProPublica, la firme répond à demi-mot sur le sujet du chiffrement de bout en bout en écrivant : « Nous sommes convaincus que les gens comprennent que lorsqu’ils font des rapports à WhatsApp, nous recevons le contenu qu’ils nous envoient ».

Certes, mais alors il ne faut pas vendre le chiffrement de bout en bout comme pierre angulaire de son application.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *