Surveillance
Self-Defense

Guide pratique : utiliser WhatsApp pour Android

Nous vous encourageons fortement à modifier vos paramètres comme décrits ci-dessous (et à demander à vos contacts d’en faire autant !) pour protéger de manière optimale vos communications WhatsApp.

En août 2016, WhatsApp a annoncé une nouvelle politique de confidentialité qui permet le partage de données avec leur société mère Facebook, ce qui nous préoccupe particulièrement. Cela permet à Facebook d’accéder à plusieurs renseignements concernant les utilisateurs de WhatsApp, dont les numéros de téléphone WhatsApp et l’utilisation des données.

Lors du changement de politique de confidentialité, les utilisateurs existants de WhatsApp ont reçu un délai de grâce pour modifier leurs paramètres et empêcher Facebook de suggérer des amis ou de servir des publicités d’après les données WhatsApp. Cependant, les nouveaux comptes n’ont pas la possibilité de refuser cette utilisation accrue de leurs données. La seule option offerte aux nouveaux utilisateurs est de décider de se joindre à WhatsApp, avec tout le partage de données que cela inclut, ou de ne pas le faire. Bien que la société garantisse aux utilisateurs qu’elle ne partagera pas directement leurs données avec les annonceurs, cela représente néanmoins une menace manifeste au contrôle par les utilisateurs de la manière dont leurs données WhatsApp sont partagées et utilisées.

De plus, l’appli Web WhatsApp nous préoccupe. WhatsApp offre une interface Web sécurisée par HTTPS pour que les utilisateurs envoient et reçoivent des messages. Cependant, comme pour tous les sites Web, les ressources nécessaires au chargement de l’application sont transmises chaque fois que vous visitez ce site. Donc, même s’il existe une prise en charge de la cryptographie dans le navigateur (site en anglais), l’appli Web peut facilement être modifiée pour servir une version malveillante de l’application (site en anglais) pour tout chargement de page, appli malveillante qui pourrait remettre tous vos messages à un tiers.

WhatsApp assure quand même un chiffrement de bout en bout, ce qui garantit qu’un message est transformé en message secret par son expéditeur original et décodé seulement par son destinataire final. Nous n’avons rien à redire à la mise en œuvre de ce chiffrement. Nous espérons en fait que le protocole de chiffrement que WhatsApp utilise, le protocole Signal (page en anglais), se répandra à l’avenir. En revanche, la sécurité de WhatsApp nous préoccupe, malgré les efforts du protocole Signal.

Si vous souhaitez quand même utiliser WhatsApp, consultez notre tutoriel ci-dessous et assurez-vous de désactiver les sauvegardes nuagiques et d’activer les notifications de changement d’empreinte (voir le paragraphe sur les paramètres supplémentaires de sécurité).

Dernière révision: 
2018-05-09
Cette page a été traduite de l’anglais. La version anglaise peut contenir des informations plus récentes.

WhatsApp est une application qui permet aux utilisateurs de communiquer entre eux sur des appareils mobiles en utilisant un chiffrement de bout en bout. Grâce à lui, les utilisateurs peuvent dialoguer en ligne en toute sécurité ou s’appeler, s’envoyer des fichiers ou encore participer à des conversations de groupe. Bien que WhatsApp utilise des numéros de téléphone comme contacts, les appels et les messages utilisent en fait votre connexion de données ; par conséquent, les deux personnes qui conversent doivent pouvoir accéder à Internet avec leur appareil mobile. C’est pour cela que les utilisateurs de WhatsApp n’ont pas à payer de frais de messagerie texte ou de messagerie multimédia.

WhatsApp est la propriété de Facebook. L’appli elle-même est un logiciel à source fermée, ce qui signifie qu’il est difficile pour des experts externes de confirmer que l’entreprise a mis en œuvre leur chiffrement d’une façon sécurisée. Néanmoins, les méthodes (page en anglais) que WhatsApp utilise pour envoyer des messages chiffrés sont publiques et considérées comme sûres.

 

Installer WhatsApp sur votre téléphone Android Anchor link

Étape 1 : Télécharger et installer WhatsApp

Sur votre appareil Android, rendez-vous dans la logithèque Google Play et cherchez « WhatsApp ». Sélectionnez l’appli « WhatsApp Messenger » par WhatsApp inc.

Une fois que vous aurez touché « Installer », vous pourriez voir une liste de fonctions Android auxquelles WhatsApp a besoin d’accéder afin de fonctionner. Touchez « Accepter ».

Une fois que Signal est installée, touchez « Ouvrir » pour lancer l’appli.

Étape 2 : Inscrire et vérifier votre numéro de téléphone

Vous devrez d’abord accepter les conditions générales d’utilisation et la politique de confidentialité de WhatsApp.

WhatsApp demandera l’accès à vos contacts. Si vous accordez cet accès, WhatsApp aura une liste complète des numéros de téléphone de vos contacts. Si vous n’accordez pas cet accès, vous pourrez ajouter manuellement chacun de vos contacts pour des dialogues en ligne. Vous ne pourrez cependant pas faire de nouveaux appels sans accorder à WhatsApp l’accès aux contacts de votre téléphone. Si vous souhaitez envoyer des photos, des fichiers multimédias ou autres fichiers, WhatsApp demandera aussi l’accès à ces fichiers.

Touchez « Continuer », puis « Autoriser » pour chacune de ces autorisations si vous souhaitez les accorder.

Vous verrez ensuite un écran semblable à celui-ci :

Saisissez votre numéro de téléphone mobile et touchez la flèche orientée vers la droite. Vous verrez ensuite une boîte de dialogue de vérification :

Touchez « OK ». Afin de vérifier votre numéro de téléphone, un texto comprenant un code à 6 chiffres vous sera envoyé. À cette étape, vous pourriez voir une fenêtre de dialogue qui indique que WhatsApp demande l’accès à vos textos. Si vous touchez « Continuer », WhatsApp reconnaîtra automatiquement la réception du code et terminera l’inscription. Si vous touchez « Pas maintenant », vous devrez vérifier manuellement votre application de messagerie texte pour récupérer le code et le saisir dans une fenêtre de dialogue qui ressemble à ceci :

Dans les prochains écrans, l’on pourrait vous demander si vous souhaitez sauvegarder vos messages vers votre disque Google. Pour vous assurer que des sauvegardes non chiffrées ne sont pas envoyées vers Google, touchez « Jamais », puis « Terminé ».

 

Utiliser WhatsApp Anchor link

Afin d’utiliser WhatsApp, la personne que vous contactez par texto ou appelez doit avoir installé WhatsApp.

Quand une nouvelle conversation chiffrée est lancée, vous verrez une notification comme suit : « Les messages que vous envoyez dans cette discussion et les appels sont désormais protégés avec le chiffrement de bout en bout. Appuyez pour plus d’informations ». À ce stade, vous pouvez vérifier l’authenticité de la personne avec qui vous conversez pour vous assurer que sa clé de chiffrement n’a été ni altérée ni remplacée par la clé de quelqu’un d’autre quand votre application l’a téléchargée (un processus appelé vérification de clé). La vérification est un processus qui a lieu quand vous rencontrez physiquement la personne avec qui vous conversez. Vous pouvez toucher cette notification [1] ou visualiser manuellement le contact en touchant le bouton de menu en haut (trois points verticaux) [2], en touchant « Afficher contact » [3], puis en touchant enfin l’icône de cadenas vert sur l’écran suivant [4] :

Demandez à votre contact de suivre le même processus sur son téléphone. L’écran suivant s’intitulera « Confirmer code de sécurité » :

Vous verrez une chaîne de 60 chiffres. Vous pouvez effectuer la vérification soit en lisant ces chiffres et en vous assurant qu’ils correspondent aux chiffres de votre contact, soit en lui demandant de lire votre code QR qui apparaît sur cet écran.

Une autre méthode de vérification que vous pourriez envisager est de prendre une capture d’écran de ces chiffres et de la partager par un autre moyen de communication.

Une fois que cela est fait, vous pouvez être assuré que les communications chiffrées avec ce contact ne sont vraiment accessibles que par vous et votre contact. Cela s’applique à la fois aux textos et aux appels effectués avec WhatsApp.

 

Paramètres supplémentaires de sécurité Anchor link

Afficher les notifications de sécurité

Comme mentionné ci-dessus, si la clé de chiffrement d’un contact changeait pour quelque raison que ce soit, vous souhaiterez peut-être que ce changement vous soit signalé.

Habituellement, il n’y a pas de raison de s’inquiéter d’un changement de clé : cela arrive fréquemment après avoir réinstallé l’appli ou changé de téléphone. Il existe toutefois une possibilité que ce changement de clé soit causé par un tiers malveillant qui aurait lancé une attaque de l’intercepteur. Pour cette raison, il est conseillé d’effectuer une autre vérification (comme décrite ci-dessus) si la clé de votre contact change. Par défaut, WhatsApp ne signale pas si les clés des contacts changent. Pour activer cette option, rendez-vous Paramètres → Compte sécurité → Sécurité et faites glisser vers la droite « Afficher les notifications de sécurité » :

Sauvegarde sur le disque Google

Aussi mentionné ci-dessus, vous souhaiterez probablement vous assurer que des sauvegardes non chiffrées ne sont pas envoyées vers Google.

Rendez-vous dans Paramètres → Discussions → Sauvegarde discussions pour vous assurer que les sauvegardes nuagiques sont désactivées. Dans « Sauvegarder dans le disque Google », sélectionnez « Jamais » :

JavaScript license information