WhatsApp vendredi annoncé il déploiera la prise en charge des sauvegardes de chat chiffrées de bout en bout sur le cloud pour les utilisateurs Android et iOS, ouvrant la voie au stockage d’informations telles que les messages de chat et les photos dans Apple iCloud ou Google Drive de manière cryptographiquement sécurisée.
La fonctionnalité, qui sera disponible pour l’ensemble de ses deux milliards d’utilisateurs dans les semaines à venir, ne devrait fonctionner que sur les appareils principaux liés à leurs comptes, et non sur les appareils compagnons tels que les ordinateurs de bureau ou les ordinateurs portables qui reflètent simplement le contenu de WhatsApp sur les téléphones.
Alors que la plate-forme de messagerie appartenant à Facebook a activé le cryptage de bout en bout (E2EE) pour les messages personnels, les appels, les conversations vidéo et les médias entre les expéditeurs et les destinataires dès avril 2016, le contenu – si un utilisateur choisit de sauvegarder sur le cloud pour permettre le transfert de l’historique des discussions vers un nouvel appareil – n’était pas soumis aux mêmes protections de sécurité jusqu’à présent.
« Avec l’introduction des sauvegardes chiffrées de bout en bout, WhatsApp a créé un coffre-fort de clé de sauvegarde basé sur HSM (module de sécurité matérielle) pour stocker en toute sécurité les clés de chiffrement par utilisateur pour les sauvegardes utilisateur dans un stockage inviolable, garantissant ainsi une sécurité renforcée des utilisateurs ‘ historique des messages », a déclaré la société dans un livre blanc.
« Avec les sauvegardes cryptées de bout en bout activées, avant de stocker les sauvegardes dans le cloud, le client crypte les messages de discussion et toutes les données de messagerie (texte, photos, vidéos, etc.) sauvegardées à l’aide d’une clé aléatoire générée sur l’appareil de l’utilisateur », a-t-il ajouté.
À cette fin, la clé pour chiffrer la sauvegarde est sécurisée avec un mot de passe fourni par l’utilisateur, qui est stocké dans le coffre-fort pour permettre une récupération facile en cas de vol de l’appareil. Alternativement, les utilisateurs ont la possibilité de fournir une clé de cryptage à 64 chiffres au lieu d’un mot de passe – mais dans ce scénario, la clé de cryptage devra être stockée manuellement étant donné qu’elle ne sera plus envoyée au HSM Backup Key Vault.
Ainsi, lorsqu’un propriétaire de compte a besoin d’accéder à sa sauvegarde, il peut le faire à l’aide du mot de passe ou de la clé à 64 chiffres, qui, par la suite, est utilisée pour récupérer la clé de chiffrement du coffre-fort de sauvegarde et déchiffrer ses sauvegardes.
Le coffre-fort, en lui-même, est géographiquement réparti sur cinq centres de données et est également responsable de l’application de la vérification du mot de passe ainsi que de rendre la clé définitivement inaccessible après qu’un seuil défini pour le nombre de tentatives infructueuses est franchi afin de se prémunir contre les attaques par force brute. pour récupérer la clé par des acteurs malveillants.
Les sauvegardes non cryptées dans le cloud ont constitué une faille de sécurité majeure grâce à laquelle les forces de l’ordre ont pu accéder aux chats WhatsApp pour recueillir des preuves incriminantes relatives aux enquêtes criminelles. En s’attaquant à cette issue de secours, l’entreprise se remet une fois de plus sur le sentier de la guerre avec les gouvernements à travers le monde, qui ont dénoncé la décision de Facebook de présenter E2EE dans tous ses services.
Facebook a depuis adopté E2EE pour les conversations secrètes sur Messenger et a récemment étendu la fonctionnalité pour les appels vocaux et les appels vidéo. De plus, le géant des médias sociaux prévoit un test limité d’E2EE pour les messages directs Instagram.
« WhatsApp est le premier service de messagerie mondial à cette échelle à offrir une messagerie et des sauvegardes chiffrées de bout en bout, et y parvenir était un défi technique très difficile qui nécessitait un cadre entièrement nouveau pour le stockage de clés et le stockage en nuage sur tous les systèmes d’exploitation. » mentionné Le directeur général de Facebook, Mark Zuckerberg, dans un article.