Quand vous surfez sur le web, peut-être avez-vous déjà aperçu des boutons de partage WhatsApp en dessous de certains articles ou notes de blog. Si vous tenez à la confidentialité de vos échanges sur WhatsApp, il est conseillé de ne pas les utiliser. Contrairement à ce que l’on pourrait croire, ces boutons ne respectent pas le principe de chiffrement de bout en bout prôné par la filiale de Facebook.
D’après l’analyse du chercheur en sécurité Nadim Kobeissi, le lien partagé est d’abord envoyé vers un serveur de WhatsApp, avant d’être intégré dans l’application mobile. « Facebook peut ensuite corréler cette information avec l’adresse IP depuis laquelle vous vous connectez sur WhatsApp et savoir quels liens vous partagez et avec qui », explique l’expert sur Twitter.
https://twitter.com/kaepora/status/1164092541408546816
Contacté par 01net.com, WhatsApp a tenté de minimiser les propos du chercheur et, surtout, de nous embrouiller. L’éditeur nous précise tout d’abord que le bouton testé par M. Kobeissi ne provient pas de WhatsApp, mais d’une société tierce (JetPack). Il s’appuie sur un framework logiciel créé par WhatsApp et baptisé « Click to Chat » qui permet de créer ces liens de partage. Puis l’éditeur nous rassure : « Si vous cliquez sur ce lien au travers d’un terminal mobile, il lance directement l’application sur le téléphone ».
Nous avons donc pris un smartphone (iPhone Xs) et cliqué sur un bouton, tout en interceptant les échanges HTTP du terminal. Résultat : l’application WhatsApp est certes lancée, mais il y a également un échange HTTPS avec le serveur api.whatsapp.com dans lequel le lien partagé est clairement indiqué. Nadim Kobeissi avait donc bien raison.
Le chercheur en sécurité estime que WhatsApp n’était pas obligé d’utiliser une interface de programmation HTTP pour ces boutons de partage. L’éditeur aurait pu implémenter un identifiant de ressource spécifique (Uniform Resource Identifier). Par exemple : « whatsapp:// ». C’est par exemple ce que fait Skype. Par ce biais, « il est possible d’ouvrir un lien directement dans une application sans passer par un serveur externe », souligne l’expert. Mais ce n’était visiblement pas le choix de WhatsApp.
Bref, si vous voulez partager un lien par WhatsApp, la meilleure méthode, c’est d’utiliser les fonctions intégrées au système du téléphone. Là, c’est certain, le lien ne passera pas par WhatsApp et sa maison mère Facebook.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
