WhatsApp conserve secrètement les discussions supprimées sur iPhone

Un expert en criminalistique numérique a découvert que WhatsApp ne supprime pas complètement les chats lorsqu'ils sont supprimés sur un iPhone. Caché par l'utilisateur, le chat reste à l'intérieur de l'application et, en raison du fonctionnement des sauvegardes sur iPhone, des données peuvent tomber entre les mains de tiers.

Jonathan Zdziarski a publié sa découverte sur son blog jeudi. La base de données de WhatsApp marque les discussions supprimées comme étant «gratuites». Ainsi, lorsque l'application a besoin d'espace de base de données, elle peut remplacer les conversations supprimées. Cela signifie que si beaucoup de discussions ont été supprimées, il y aura un important arriéré de discussions «gratuites» qu'il faudra peut-être beaucoup de temps pour remplacer de nouvelles discussions. La seule façon pour un utilisateur de s’assurer que ces discussions sont supprimées est de supprimer WhatsApp.

«Les choix de conception qu’ils développeurs de logiciels font lorsqu’ils développent une application de messagerie sécurisée ont des implications critiques pour les journalistes, les dissidents politiques, les pays qui ne respectent pas la liberté d’expression et bien d’autres», a déclaré Zdziarski. «Un choix de conception médiocre pourrait, de manière tout à fait réaliste, aboutir à l'emprisonnement de personnes innocentes, parfois cruciales pour la liberté.

C’est un coup dur pour un service de messagerie qui a doublé ses efforts en matière de confidentialité. En avril, WhatsApp a activé sa fonctionnalité de cryptage de bout en bout et est instantanément devenue le plus grand système de messagerie crypté au monde. Cependant, WhatsApp ne crypte pas tout: le service indique dans sa politique de confidentialité qu'il peut conserver certaines informations d'horodatage, ainsi que «toute autre information que WhatsApp est légalement tenue de collecter».

«Conserver simplement les données supprimées sur un appareil sécurisé n’est généralement pas un problème important, mais lorsque ces données sont transmises aussi librement que le permet la base de données de WhatsApp, cela représente un risque assez grave pour la vie privée», a déclaré Zdziarski. "Malheureusement, c’est ce qui se passe ici et pourquoi les utilisateurs devraient en être conscients."

Les données d'application WhatsApp sont copiées lors de la sauvegarde de l'iPhone. Si elle est sauvegardée sur un ordinateur utilisant iTunes, il existe une option de «sauvegarde cryptée» dans les paramètres de l’appareil. Ce n’est donc pas un problème si important (si vous utilisez un mot de passe long qui n’est stocké nulle part).

Le plus gros problème est si vous utilisez la sauvegarde iCloud. Celles-ci sont cryptées, mais Apple a la clé pour les décrypter, les laissant ouvertes aux demandes des forces de l'ordre. Un avocat d’Apple a déclaré à un comité de la Chambre, en avril, que la société étudiait le cryptage iCloud qui pourrait résoudre ce problème, mais pour l’instant, cela reste un risque.

Il semble que le seul moyen de supprimer ces discussions consiste à supprimer l'application. Zdziarski recommande de supprimer l'application de temps en temps, de désactiver les sauvegardes iCloud et de chiffrer les sauvegardes iTunes avec un mot de passe fort. Du côté de WhatsApp, les développeurs pourraient résoudre ce problème avec une mise à jour logicielle utilisant une méthode de stockage différente, ou simplement marquer la base de données comme quelque chose que l’iPhone ne devrait pas sauvegarder.