L’une des nouvelles règles contenues dans la loi européenne sur les marchés numériques obligerait WhatsApp à repenser son système de cryptage de bout en bout. Prendre du recul sur la sécurité.
Le 24 mars, l’Union européenne est parvenue à un accord sur l’une des plus importantes réglementations jamais conçues pour les grandes entreprises technologiques également présentes en Europe, appelée Digital Markets Act (DMA). Parmi les mesures de cette nouvelle réglementation, il y en a une en particulier qui fait débattre les experts : toute entreprise ayant une capitalisation supérieure à 75 milliards de dollars et une base d’utilisateurs supérieure à 45 millions de comptes devra créer ou mettre à jour ses produits afin de les rendre compatibles avec des plates-formes plus petites. Une approche qui, dans le cas des applications de messagerie comme WhatsApp, obligerait à prendre du recul dans le chiffrement des données.
En prenant WhatsApp comme exemple, rendre l’application compatible avec le système SMS indiquerait trouver un moyen d’intégrer le cryptage de bout en bout avec un protocole moins sécurisé, comme celui des messages texte normaux. Un élément qui, selon les experts en sécurité, mettrait en péril les nombreuses avancées réalisées par le chiffrement des messages ces dernières années. Bref, si elle devait vraiment entrer en vigueur, la loi rendrait moins sûrs les services qui utilisent maintenant le cryptage de bout en bout.
L’objectif principal de DMA est un groupe d’entreprises technologiques appelées «gardiens» qui, en raison de leur taille, rendent la concurrence dans leur secteur presque impossible. Grâce à ces nouvelles règles, l’UE espère limiter la portée de certains de ses services en permettant à de plus petites entités d’être concurrentielles sur le marché. Quelques exemples : autoriser l’installation d’applications sur l’iPhone à partir d’une source autre que l’App Store, placer les vendeurs externes qui opèrent sur Amazon plus haut que les produits de l’entreprise dans les résultats de recherche et, de fait, demander à l’application de messagerie d’envoyer des messages sur différents protocoles.
Parce que l’armée suisse ne peut plus utiliser WhatsApp, Signal et Telegram
Le problème avec cette approche est que dans le cas de services protégés par chiffrement de bout en bout, il serait difficile de maintenir le niveau de sécurité actuel. Sans oublier que les règles n’affecteraient qu’une partie des services : WhatsApp, par exemple, serait impliqué précisément en raison de sa taille, alors que Signal ne le serait pas. « Essayer de concilier deux architectures cryptomonnaies ne se fait pas, il faut de part et d’autre faire des changements radicaux », explique Steven Bellovin, chercheur en sécurité informatique. « Une conception qui ne fonctionne que lorsque les deux parties sont en ligne est profondément différente d’une conception qui fonctionne avec des messages enregistrés, comment pouvez-vous faire fonctionner ces deux systèmes ? ». L’une des solutions possibles proposées par la DMA, mais toujours décriée par les experts, serait de décrypter et recrypter les messages lorsqu’ils passent d’un service à un autre, opération qui créerait toutefois un point vulnérable dans le processus.