Pas vraiment une newsletter, cet article est consacré au chiffrement de bout en bout.
Suite à une publicité vue sur Facebook j’ai fait quelques recherches afin de m’assurer que mes connaissances sont toujours à peu près valables dans un monde qui change beaucoup et parfois trop vite. On fait le point. SPOIL : pas grand chose de nouveau.

On nous vante souvent le « chiffrement de bout en bout » (ou « E2EE » pour les intimes) comme la protection ultime de nos conversations sur WhatsApp, Signal et d’autres applications. Qu’est-ce que cela recouvre réellement.

Le chiffrement de bout en bout : une promesse basée sur votre… confiance ? ou peut-être sur votre crédulité ?


La publicité est claire : « Personne ne peut voir ni entendre vos messages personnels, pas même WhatsApp. » Sur le papier, c’est génial ! Vos mots sont transformés en charabia illisible avant de quitter votre téléphone, et seul le téléphone de votre ami peut les décrypter. Impossible pour l’entreprise de lire vos secrets.

Mais est-ce vraiment aussi simple ? Cette promesse, aussi rassurante soit-elle, repose sur un pilier fondamental : notre confiance. Et comme on dit, la confiance n’exclut pas le contrôle… même si ce contrôle est souvent impossible pour le commun des mortels.

Ce que le chiffrement de bout en bout protège (et c’est déjà beaucoup !)

Quand on parle de chiffrement de bout en bout, on parle bien du contenu de vos messages, photos, vidéos et appels. Imaginez que votre message est enfermé dans un coffre-fort ultra-sécurisé sur votre téléphone, et que seule la personne à qui vous l’envoyez possède la clé. L’entreprise qui gère l’application (WhatsApp, par exemple) ne possède pas cette clé et ne peut donc pas ouvrir le coffre. Ça, c’est une excellente nouvelle pour votre vie privée.

Le revers de la médaille : les autres données et les « boîtes noires »

Cependant, il y a d’autres choses qui se passent en coulisses, et c’est là que les choses se compliquent pour nos amis les « débutants en informatique ».

1. Les métadonnées : des informations qui en disent long

Même si le contenu de votre message est secret, l’application continue de collecter des informations sur qui parle à qui, quand, et pendant combien de temps. Ce sont les « métadonnées ». Si vous parlez tous les jours à Paul et que vous passez des heures en appel avec lui, l’application le sait. Elle ne sait pas ce que vous vous dites, mais elle sait que vous vous parlez beaucoup. Et ces informations peuvent être très précieuses pour comprendre les relations et les habitudes.

2. L’exemple de Gboard : le clavier qui « apprend »

Prenez votre clavier de téléphone, comme Gboard (celui de Google). Quand vous tapez un message, ce n’est pas « chiffré de bout en bout » au même titre que votre conversation WhatsApp. Le clavier voit tout ce que vous tapez avant même que l’application de messagerie ne prenne le relais pour chiffrer.

Google affirme que Gboard ne transmet pas le contenu de vos conversations privées à ses serveurs pour vous cibler avec de la publicité. Les mots que votre clavier « apprend » pour vous suggérer des corrections sont stockés sur votre téléphone. Là encore, c’est une promesse qui demande confiance.

Focus sur le Clavier : un logiciel très très sensible !!!

Je prends l’exemple de Gboard car justement c’est un des claviers pour lesquels j’ai le plus de confiance (de croyance dans leur respect de la GRDP).
J’ai confiance notamment parce qu’Alphabet (la maison mère de Google) est un acteur qui a tellement d’informations sur nous de par son écosystème ultra vaste que la valeur de nos chaînes de caractères tapées auraient peu d’impact sur leurs performances financières contrairement à une petite société exploitant uniquement un logiciel de clavier virtuel.
Prenez soin de choisir un clavier virtuel chez un acteur très sérieux (Assez gros pour avoir des obligations d’audit réalisées par des prestataires extérieurs) ou un logiciel dont on connait le code (open source).

Le point de friction : l’intelligence artificielle embarquée

Et c’est là que votre scepticisme est tout à fait pertinent. Que se passe-t-il si, avant même de chiffrer votre message ou de l’envoyer, l’application utilise une petite intelligence artificielle (IA) cachée dans votre téléphone ?

Imaginons : vous tapez à un ami « J’ai trop envie d’acheter une piscine pour cet été ! ».

  1. Votre clavier (Gboard) voit la phrase.
  2. L’application de messagerie (WhatsApp) voit la phrase avant de la chiffrer.

À ce moment précis, techniquement, rien n’empêcherait cette IA embarquée sur votre téléphone de faire ceci :

  • Analyser la phrase : « Ah, ‘piscine’, c’est un mot-clé intéressant ! Et ‘acheter’, ça indique une intention forte ! »
  • Extraire « l’essence » : La petite IA pourrait dire : « Utilisateur intéressé par ‘achat de piscine’. »
  • Transmettre l’essence : Ensuite, au lieu d’envoyer la phrase entière non chiffrée, elle enverrait cette petite « fiche d’intérêt » aux serveurs de l’entreprise. Puis, seulement après, elle chiffrerait et enverrait votre message « J’ai trop envie d’acheter une piscine… ».

Cela permettrait aux entreprises de « qualifier » votre profil (savoir que vous êtes intéressé par une piscine) sans avoir à « lire » le contenu chiffré de votre message ! Et ces « essences » d’information sont très précieuses pour les entreprises : elles peuvent les utiliser pour vous envoyer des publicités ciblées, ou même les vendre à d’autres entreprises (les « data brokers » ou courtiers en données).

Pourquoi c’est un problème (et une question de confiance)

  • La promesse brisée : Si cela se produisait, la promesse du chiffrement de bout en bout (« Personne ne peut voir ni entendre vos messages… ») serait en partie brisée. Le contenu entier ne serait pas lu, mais son « essence » le serait.
  • Le coût n’est plus un argument : Autrefois, analyser des milliards de messages coûtait cher. Mais les puces intelligentes de nos téléphones et l’IA embarquée (qui tourne directement sur le téléphone) rendent cette analyse locale très facile et peu coûteuse.
  • La « boîte noire » : Puisque le code de ces applications est secret (on parle de « code propriétaire » ou de « boîte noire »), il est quasiment impossible pour nous, utilisateurs, de vérifier si de telles analyses sont effectuées.

Alors, que faire ?

Le chiffrement de bout en bout reste une avancée majeure pour la confidentialité. C’est bien mieux que rien ! Et derrière des possibilités techniques éprouvées restent des zones sombres pour lesquels nous devront croire les promesses marketing pour être rassurées.
Mais il est essentiel de comprendre que la sécurité et la confidentialité numériques sont des questions complexes, Et que dans la plupart des cas nous ne devrions pas nous satisfaire de nos croyances ou de notre confiance envers le fournisseur.

Quand une application nous promet le chiffrement de bout en bout, elle nous demande aussi de faire confiance à son développeur pour qu’il ne fasse pas de « minage » de nos données avant le chiffrement.

Si la confidentialité est votre priorité absolue, voici quelques pistes :

  • Privilégiez les applications « open source » : Ces applications (comme Signal pour la messagerie) rendent leur code public. N’importe qui peut le vérifier pour s’assurer qu’il n’y a pas de pratiques cachées (extraits de « mots chauds* », qualification marketing des messages, etc.).
  • Lisez les politiques de confidentialité : Ce n’est pas toujours facile, mais ça donne des indices sur ce que l’entreprise collecte.
  • Soyez conscient de vos autres activités : N’oubliez pas que vos recherches sur Google, vos visites de sites web, vos interactions sur les réseaux sociaux, etc., sont toutes des sources d’information précieuses pour les entreprises, qu’elles utilisent pour vous cibler, qu’importe ce qui se passe dans vos messages privés.

Le numérique est un monde fascinant, mais il demande une vigilance constante. La promesse du chiffrement de bout en bout est forte, mais elle ne doit pas nous rendre crédules face à toutes les autres façons dont nos données peuvent être utilisées.

Des questions sur le chiffrement ou la confidentialité ? N’hésitez pas à en discuter avec nous au Centre Social !

*Un « mot chaud » est un mot ou une expression que vous utilisez et qui révèle une intention ou un besoin précis, souvent lié à un futur achat ou à un intérêt qui a une forte valeur commerciale.