Twitter active les appels audio et transmet votre adresse IP: est-ce vraiment problématique?

Une divulgation qui inquiète. Depuis quelques jours, Twitter (désormais X) permet de passer des appels audio et vidéo sur sa plateforme. D’abord réservée aux abonnés payants, cette fonctionnalité, qui est activée par défaut, est accessible à tous depuis le 28 février. Elle peut cependant révéler l’adresse IP de l’utilisateur, ce numéro d’identification unique attribué à toute connexion internet, comme une antenne-relais (pour le mobile) ou une box (à son domicile).

Dans les réglages des messages privés, Twitter propose en effet une option baptisée “confidentialité des appels améliorée” si la fonctionnalité d'appels est activée. Désactivé par défaut, ce paramètre permet de cacher son adresse IP aux personnes que l’utilisateur appelle ou des personnes qui l’appellent.

"L’adresse IP de toute partie ayant activé ce paramètre sera masquée", affirme le réseau social sur la page dédiée aux appels audio et vidéo de son centre d’assistance en anglais.

Localisation approximative

L’adresse IP d’un utilisateur peut ainsi être transmise à la personne qui se trouve à l’autre bout du fil si cette option de confidentialité est désactivée, ce qui inquiète certains internautes.

Ce numéro d’identification permet en effet "d’identifier votre connexion à Internet et sa localisation approximative", alertait la Commission nationale de l’informatique et des libertés (Cnil) en 2022. "En la liant aux adresses des sites web visités, elle permet de déduire des informations vous concernant, comme vos intérêts, vos habitudes ou votre appartenance à certains groupes sociaux", avait-t-elle aussi expliqué.

Il est donc possible de tracer l’activité en ligne d’un internaute avec son adresse IP. Cela ne représente cependant pas un risque majeur, déjà car sa géolocalisation est approximative. Elle ne permet également pas d’identifier directement un individu. Attribuée par les fournisseurs d’accès à Internet, elle peut être la même pour plusieurs appareils, à la maison par exemple, si ces derniers sont connectés à Internet via une box.

"Seule, une adresse IP ne permet pas de divulguer des informations sensibles (comme un numéro de téléphone ou une localisation exacte). Elle peut cependant être ajoutée à un ensemble d’autres informations personnelles en ligne (comme un nom d’utilisateur...) que les hackers peuvent utiliser contre vous", souligne un porte-parole de Proton, entreprise spécialisée dans les services dédiés à la protection de la vie privée, auprès de Tech&Co.

Un pirate devrait ainsi rassembler d’autres informations provenant des activités en ligne d’un utilisateur, en plus de l’adresse IP, pour - éventuellement - connaître son adresse exacte.

Une "tempête dans un verre d’eau"

Si la révélation de cette information fait paniquer certains utilisateurs de Twitter, ce n’est qu’une "tempête dans un verre d’eau", assure Alexandre Archambault, avocat spécialisé en droit du numérique, auprès de Tech&Co.

"90% de l’accès à Twitter s’effectue depuis un mobile. Pour lequel l’adresse IP est mutualisée entre plusieurs centaines ou milliers de clients selon la configuration de l’opérateur”, explique-t-il.

"La géolocalisation des adresses IP est une légende urbaine", tranche-t-il par ailleurs, concernant les adresses IP liées à des box.

Ce problème n’est d’ailleurs pas spécifique à Twitter. En réalité, toutes les grandes messageries, dont iMessage, Whatsapp, Facebook Messenger, ou même Signal, collectent par défaut les adresses IP des utilisateurs, rappelait le site américain Techcrunch fin 2023.

Un partage d'IP potentiellement utile

Pour fonctionner, la plupart de ces applications utilisent des connexions pair-à-pair, qui améliorent la qualité des appels. "Cette connexion directe permet des transferts de données plus rapides et une meilleure qualité d’appel", indique WhatsApp dans un article de blog publié en novembre 2023, au moment où elle ajoutait justement une option pour masquer son IP, de la même façon que le permet Twitter.

La divulgation de l'adresse IP peut au contraire être utile, notamment face aux cyberharceleurs: malgré l’utilisation d’un pseudonyme, les autorités peuvent envoyer une réquisition judiciaire à une plateforme pour obtenir l’adresse IP du compte ciblé par l’enquête et s’adresser aux fournisseurs d’accès pour savoir à quel abonné ce numéro correspond. Une technique qui a déjà fait ses preuves dans les affaires de cyberharcèlement des artistes Eddy de Pretto et Hoshi.

Enfin, même si les cyberharceleurs utilisent un VPN, il est possible de les retrouver car ces plateformes collaborent également avec les autorités. "L’entreprise qui fournit le service conserve la connaissance de votre adresse IP et des sites visités, et peut transmettre ces informations à des tiers", souligne d’ailleurs la Cnil.