Cybersécurité: Whatsapp était déconseillé à l'administration depuis deux ans

À partir de ce 8 décembre 2023, les ministres, ainsi que l'ensemble des membres de leur cabinet, n'auront plus le droit d'utiliser Whatsapp, ou toute autre application de messagerie grand public autre que l'application française Olvid. Dans une circulaire adressée au gouvernement, Élisabeth Borne justifiait cette nouvelle règle par la nécessité d'une "prise de conscience en matière de cybersécurité". En réalité, les risques liés à l'utilisation de Whatsapp étaient dénoncés depuis de longs mois par l'Anssi, le "gendarme de la cybersécurité", rapporte le média Acteurs Publics.

Dans une note de l'Anssi (Agence nationale de la sécurité des systèmes d'information) datée du 30 novembre 2021, son directeur de l'époque, Guillaume Poupard, exprimait ouvertement son inquiétude quant à l'utilisation par l'administration - et a fortiori par les ministres et leur cabinet - de l'ensemble des applications de Meta (Facebook, Messenger, Instagram ou Whatsapp). Et ce, y compris si cette dernière se présente comme "chiffrée de bout en bout".

Fuites de données

"Meta et ses services associés Facebook, Messenger, Whatsapp et Instagram ont récemment connu une succession d'incidents avec une interruption généralisée de service à l'échelle mondiale le 4 octobre, la diffusion massive de données personnelles récupérées du fait de mauvaises configurations des interfaces de Facebook au printemps 2021 ainsi que des accusations récurrentes sur l'éthique de la société" alertait alors Guillaume Poupard dans sa note.

Dénonçant par ailleurs "un manque de maîtrise" par Meta de ses infrastructures, et "un manque de volonté" de protéger les données personnelles des utilisateurs, l'Anssi fait référence à la panne mondiale qui a touché les différents services de Meta le 4 octobre 2021. Par ailleurs, une faille de sécurité, révélée début 2021, avait conduit à la fuite des numéros de téléphone de plus de 530 millions d'utilisateurs. Dont 20 millions de Français, parmi lesquels des ministres en exercice, comme avait pu le constater Tech&Co.

Pourquoi les ministres n'ont plus le droit d'utiliser WhatsApp

35:33

Si le chiffrement du contenu des messages de Whatsapp n'a jamais été remis en cause, l'entreprise collecte malgré tout une multitude de données personnelles (géolocalisation, liste de contacts, données de paiement etc.), ainsi que les métadonnées. Ces dernières permettent par exemple de savoir si un numéro de téléphone a envoyé un message à un autre numéro de téléphone, et à quel moment. Des informations qui peuvent s'avérer sensibles, même si le contenu en lui-même est inaccessible.

"Ce défaut récurrent de protection est doublé d'une exploitation systématique des données échangées au travers des services de Meta, y compris des correspondances privées, à des fins commerciales" ajoutait Guillaume Poupard.

Avant de plébisciter Olvid - certifiée par l'Anssi, le cybergendarme invitait à utiliser la plateforme Tchap, réservée aux communications internes à l'administration. Il évoquait par ailleurs, en cas de nécessité absolue, la substitution de Whatsapp par Signal, présentée comme "la moins mauvaise solution". Le tout, en insistant sur la nécessaire "désinstallation des applications liées à Meta sur tous les équipements de l'administration". Une recommandation qui aura finalement été entendue… deux ans plus tard.