L'Affaire WhatsApp
Aujourd’hui, une fois n’est pas coutume, un sujet d’actualité. Sans doute parce que notre présent devient de plus en plus futuriste.
Les faits : le 7 janvier, Whatsapp, la société de messagerie internet, informe ses utilisateurs d’un changement de conditions de service qui lui permettrait à partir du 8 février d’échanger des informations avec Facebook, son actionnaire principal depuis 2014. La nouvelle circule sur internet, beaucoup s’inquiètent, Elon Musk tweete, et des millions d'utilisateurs commencent à migrer sur d’autres plateformes. Quelques jours plus tard, WhatsApp communique pour tenter de désamorcer la situation, et reporte la modification des termes de service à mai 2021.
Pour ma part, j’ai décidé de ne plus utiliser WhatsApp et de passer par d’autres services de messagerie internet. Depuis longtemps le fait que Facebook en soit propriétaire me semblait problématique, et cette fois-ci le besoin de changer est devenu une évidence. Cette décision arrive au bout de plusieurs années de lectures et de réflexion, dont je vous propose ici un résumé.
Pourquoi changer ?
Pour protéger les données personnelles. Pour expliquer pourquoi plus en détail, le mieux est de répondre aux objections les plus fréquentes.
« Les messages sont cryptés, nous sommes donc protégés. »
Oui, mais non.
Effectivement WhatsApp chiffre systématiquement le contenu des messages de bout en bout, ce qui signifie qu’en théorie, même s’ils le voulaient, ils n’auraient pas la possibilité de lire leur contenu.
Mais une autre sorte d'information personnelle est en jeu : les méta-données, c’est à dire à qui nous envoyons des messages, combien et quand, notre numéro de téléphone, carnet d’adresses, localisation, adresse IP… Ces informations permettent de nous surveiller de près, par exemple de savoir si on était à telle manifestation, si on a des échanges avec telle personne. Et il se trouve que Whatsapp les collectionne avec appétit, plus que ses concurrents.
Il ne suffit pas d’être vigilant sur ce que l’on dit sur internet ; même si c’est une bonne règle de conduite, les méta-données continueront de parler de nous sans notre consentement.
« Je n’ai rien à cacher, mes données n’intéressent personne. »
Si vous êtes dans ce cas, vous avez de la chance – ou bien vous devriez vous méfier. Par exemple, cette tranquillité n’est pas permise aux membres d’une minorité persécutée, ou aux opposants dans des pays autoritaires. Pour eux, échapper à la surveillance est une nécessité vitale. Et qui sait de quoi demain sera fait dans les pays aujourd’hui dits « de droit » ? L’exemple américain des 4 dernières années devrait donner à réfléchir.
Pour tous les autres, la prudence reste de rigueur, car l’exploitation des données personnelles à fins criminelles est un business en pleine croissance. Une fois récupérées et revendues en gros sur le dark web, elles tomberont vite dans les mains de spécialistes en ingénierie sociale), récupération de comptes, hameçonnage…
Les informations personnelles sont rarement inoffensives, même si nous avons parfois du mal à imaginer ce que d’autres en feront. Par exemple, des cambrioleurs se sont déjà aidés de photos de vacances sur Facebook pour détecter les maisons vides.
« WhatsApp a démenti, leur nouvelle politique ne leur permettra pas de partager des données avec Facebook : tout va bien ! »
Cela ne semble pas entièrement vrai, même en prenant en compte la réglementation européenne (RGPD) qui protège les utilisateurs européens. Si le partage de meta-donnés à fins publicitaires n’est pas autorisé, Whatsapp peut le justifier par l' « amélioration du service », terme suffisamment vague.
Mais surtout, une direction claire vient d’être prise. Il y aura d’autres mises à jour, selon une tactique des petits pas déjà bien éprouvée. Chaque changement pris isolément sera minime, mais leur accumulation nous amenera très loin de ce qui est acceptable pour nous. Facebook est capable de revenir sur ses engagements, y compris envers les fondateurs de WhatsApp, quand cela leur permet capter plus de données.
Facebook réalise son chiffre d’affaire grâce à la publicité ciblée basée sur les donnés de ses utilisateurs ; leur intérêt financier s’oppose directement à la protection de nos données personnelles. Ils n'auraient pas acheté WhatsApp pour 19 milliards de dollars, et rendu l’application gratuite, s’ils ne comptaient pas rentabiliser ces investissements.
Les enjeux financiers sont massifs, et la culture du « pas vu, pas pris » semble si forte chez Facebook, que je ne les imagine pas résister à cette tentation. Peut-être se servent-ils déjà.
« Mais Facebook ne partage pas nos données. Ces informations sont conservées bien à l’abri.»
Vrai, mais en théorie seulement.
Les données captées par les réseaux sociaux constituent le trésor de guerre qui leur permet de vendre un service de ciblage à des annonceurs publicitaires. Ces derniers ne savent rien (en théorie) de l’identité des gens à l’autre bout du système. Pourquoi les partager ?
Sauf…
- Si un gouvernement (américain ou autre) les demande avec insistance, comme c’est de plus en plus souvent le cas);
- Si elles sont récupérées par des pirates - le nombre d’attaques a explosé depuis 10 ans. D’ailleurs Facebook fait une bonne cible.
L’accumulation de données personnelles dans des bases de plus en plus riches crée des cibles tentantes. Les fuites deviennent inévitables : même la NSA, la CIA et le gouvernement US en ont été victimes. La question n’est plus seulement de savoir ce que ces braves gens comptent faire avec nos données, mais comment s’en serviront d’autres groupes que nous ne connaissons pas, une fois qu’ils les auront récupérées.
« Si ‘ils’ le veulent, ils peuvent avoir accès à toutes nos données. »
Oui, si la NSA ou des hackers russes décident de s’en prendre à un citoyen comme les autres, ils auront probablement les moyens de percer ses défenses. Mais peu d’entre nous font l’objet de leur attention, et ce n’est pas une raison pour ne pas se protéger de risques plus basiques, mais aussi plus vraisemblables, comme l’exploitation en masse de bases de données piratées.
Les services secrets ou des tueurs de la mafia peuvent entrer dans mon appartement s’ils le décident, mais est-ce une raison pour laisser la porte ouverte en sortant ?
Entre la paranoïa de la sécurité totale et l’abandon complet, il y a la place pour des approches plus raisonnables.
« D’ailleurs c’est déjà fichu, ils ont toutes nos données ; et puis tout le monde est sur Facebook ! »
Quel homme d’état célèbre a dit : « Nous avons perdu une bataille, nous avons donc perdu la guerre »? Aucun : le défaitisme n’a jamais mené à grand-chose.
Si un malfaiteur vous braque votre portefeuille, est-ce que vous lui proposerez aussi votre adresse, les clefs de votre maison et le digicode ?
« Toutes nos données », cela n’existe pas aujourd'hui, on peut toujours surveiller de manière plus détaillée, plus intrusive, capter encore plus d’informations. En particulier, une messagerie comme WhatsApp peut accéder à énormément de facettes de nos vies, et trahir des informations différentes, et peut-être encore plus intimes, que ce que nous exposons sur un réseau social.
« Tout ça c’est bonnet blanc et blanc bonnet, on ne peut faire confiance à personne ! »
Sans tomber dans la naïveté, il existe des moyens simples d’évaluer jusqu’où on peut se fier à un fournisseur de services :
- Suivre l’argent, se renseigner sur leurs sources de revenus et donc leurs motivations. Une société financée par la publicité ciblée a un intérêt direct à capter les données personnelles de ses utilisateurs, mais d’autres (services payants ou financés par fondations) n’ont pas (ou moins) ce conflit d’intérêt.
- Evaluer leurs pratiques, la culture de l'entreprise : quand leurs intérêts financiers entrent en contradiction avec le respect de la vie privée, ou les lois qui la protègent, comment se comportent-ils ? Reviennent-ils souvent sur leurs engagements ?
Sur ces critères, les priorités de Facebook/WhatsApp ne pourraient pas être plus claires.
Que faire ?
Il est temps d’adopter de saines habitudes d’hygiène numérique. Au 21e siècle, une éducation de qualité devrait inclure ce mot d’ordre :
« Ne laisse pas traîner tes données partout ! »
Sécurité et protection des données
Comment choisir une bonne messagerie de groupe ? Il faut distinguer deux questions :
- La sécurité informatique : ce service a-t-il les moyens techniques de protéger ses utilisateurs des intrusions de pirates ? On parle ici de cryptographie, de défense contre des intrusions illégales.
- La protection des données personnelles : cette entreprise collecte-t-elle les données de ses utilisateurs, et lesquelles ? Il s'agit de pratiques et de culture d’entreprise, de motivations financières. Cette collecte est généralement légale, même si tout le monde ne l’approuve pas.
Je crois que la protection des données personnelles passe d’abord : la meilleure sécurité du monde ne peut nous garantir que les informations collectées ne s’échapperont pas un jour. Pour ne rien divulguer, le mieux est de ne rien savoir.
Qui choisir
Si WhatsApp fournit une sécurité solide, ils ne respectent pas assez les données personnelles, et cela n'ira pas en s'améliorant.
Telegram, le principal concurrent, n'applique le chiffrement de bout en bout que si l'utilisateur pense à sélectionner cette option, ce qui me semble insuffisant aujourd'hui.
C’est pourquoi je leur préfère généralement Signal, qui est connu pour conserver très peu de données sur ses utilisateurs - le numéro de téléphone uniquement. La société a pris des engagements forts dans ce domaine, et travaille déjà sur un modèle où les méta-données des messages leur seraient masquées, rendant toute collecte impossible.
Leur modèle économique semble plus sain que celui d’un géant de la publicité internet - ils sont financés par donations des utilisateurs et par une fondation. Quant à la sécurité, on peut sans doute trouver encore mieux, mais je ne suis pas sûr que cela en vaille la peine. Après tout, Edward Snowden lui-même recommande d’utiliser Signal, ainsi que de grands journaux pour protéger leurs sources confidentielles ; ils devraient savoir de quoi ils parlent.
D’autres considérations entrent en jeu :
- On y retrouve beaucoup de monde, et de plus en plus ; pratique pour mettre en place des groupes de messagerie.
- L’app est très simple d’emploi, cela demande moins d’effort aux gens qui veulent bien nous y retrouver.
En fin de compte le choix dépend des priorités de chacun. Certains sont prêts à de quitter internet et enterrer leur smartphone pour vivre « hors du réseau », d’autres n'envisagent pas d’abandonner leurs groupes WhatsApp. La plupart des gens se trouvent entre les deux. La bonne nouvelle, c’est que les alternatives ne manquent pas et qu’il n’est pas si difficile de changer – à condition d'être accompagné, bien sûr. Et au besoin, utiliser plusieurs applications de messagerie n’est pas si compliqué.
Quand j’ai proposé à des amis de changer, j’ai été surpris par le nombre de personnes qui semblaient n’attendre que cela. Si le mouvement a touché des millions de personnes, c’est peut-être signe d’un problème de réputation et de confiance pour les entreprises technologiques, et de la préoccupation croissante du public sur la protection de sa vie privée. Un mouvement d’opinion qui pourrait annoncer d’autres changements.
Et Facebook ?
Voilà une question qui mériterait un article entier.
Tout ce qui a été dit ici sur WhatsApp s'applique aussi à Facebook, avec quelques différences dans le type de données concernées. Alors pourquoi ne pas quitter le réseau social aussi ? En ce qui concerne ce Barde, sans doute parce qu'il est plus difficile à remplacer, car son « effet réseau » est plus puissant.
Sur ces bonnes paroles, amusez-vous bien sur internet !