Le procès WhatsApp suscite du scepticisme de la part des cryptographes et des avocats spécialisés dans la vie privée

En résumé

• Cryptographes et avocats spécialisés dans la vie privée ont déclaré qu’une nouvelle action collective accusant Meta d’accéder secrètement aux messages WhatsApp manquait de détails techniques.
• Des experts ont indiqué qu’une exposition à grande échelle des messages serait plus plausiblement due à des risques côté utilisateur, tels que des appareils compromis.
• Des préoccupations quant à la conformité de la plainte avec la précision nécessaire pour survivre à un examen précoce en justice ont également été soulevées.

Depuis des années, WhatsApp a assuré à ses environ trois milliards d’utilisateurs que leurs messages sont protégés par un chiffrement de bout en bout — si sécurisé que même WhatsApp ne peut pas les lire.
Une nouvelle poursuite remettant en question cette affirmation suscite rapidement du scepticisme de la part de cryptographes et d’avocats spécialisés dans la vie privée, dont beaucoup estiment que les allégations soulèvent plus de questions sur les preuves et le calendrier que sur la sécurité sous-jacente de WhatsApp.
Des technologues contactés par Decrypt ont déclaré ne voir aucune voie technique claire permettant à Meta d’accéder régulièrement au texte en clair des messages WhatsApp, comme l’allègue la plainte.


Matthew Green, professeur de cryptographie à l’Université Johns Hopkins, a déclaré que la seule façon réaliste pour WhatsApp d’exposer des messages à grande échelle serait via des sauvegardes cloud non chiffrées stockées chez des fournisseurs tiers comme Google ou Apple, systèmes hors du contrôle de Meta.
« Les portes dérobées dans une application sont toujours théoriquement possibles », a déclaré Green. « Mais elles seraient généralement détectables par ingénierie inverse de l’application. Le fait que les plaignants ne démontrent ni ne revendiquent rien de spécifique est un signe plutôt bon qu’ils ne connaissent pas de porte dérobée, car trouver une faille comme celle-là renforcerait considérablement leur dossier. »
Nick Doty, technologiste au Center for Democracy and Technology, a adopté une position plus prudente, déclarant à Decrypt que des tiers n’ont pas une visibilité complète sur les systèmes de messagerie propriétaires, mais que les revendications restent peu probables.
« Je pense qu’il est difficile pour un tiers de pouvoir vous dire cela avec autant de certitude », a déclaré Doty. « Je serais très surpris si les revendications sont exactes. »

Doty a ajouté que le chiffrement n’est pas une solution miracle. Les messages peuvent être exposés sans casser le chiffrement lui-même, par exemple via des logiciels malveillants installés sur l’appareil d’un utilisateur ou par des utilisateurs signalant volontairement du contenu abusif. Mais la plainte semble évoquer quelque chose de plus large, a-t-il dit.
« Ce qui est décrit dans la brève description de cette affaire ne semble pas couvrir ces cas », a déclaré Doty. « Il semble spécifiquement parler de tous les messages, pas seulement de certains, et de messages accessibles directement par Meta. »
Les experts juridiques, quant à eux, ont remis en question si la plainte offre la précision requise pour survivre à un examen précoce en justice.
Maria Villegas Bravo, conseillère au Electronic Privacy Information Center, a partagé ces doutes d’un point de vue juridique, disant que la plainte semble peu détaillée sur le logiciel réel de WhatsApp.
« Je ne vois aucune allégation factuelle ni aucune information sur le logiciel lui-même », a déclaré Villegas Bravo. « J’ai beaucoup de questions auxquelles je voudrais répondre avant de vouloir que cette action en justice continue. »
Villegas Bravo a également questionné le calendrier de l’affaire, notant qu’elle intervient alors que WhatsApp continue de poursuivre NSO Group, le fabricant de logiciels espions derrière Pegasus.
Dans cette affaire, WhatsApp a accusé NSO d’abuser de son infrastructure pour livrer des logiciels malveillants aux appareils des utilisateurs, une attaque qui n’impliquait pas de casser le chiffrement de WhatsApp.
« C’est un timing très suspect que cela se produise alors que cet appel est en cours, alors que NSO Group tente de faire pression pour être retiré des sanctions du gouvernement américain », a-t-elle déclaré, en faisant référence à une plainte similaire déposée en Israël.

En mai 2025, NSO a été condamné à payer plus de 167 millions de dollars de dommages et intérêts à WhatsApp pour avoir illégalement ciblé plus de 1 400 utilisateurs.
« Je ne pense pas qu’il y ait du mérite dans cette plainte », a déclaré Villegas Bravo.
Les rivaux prennent position
L’affaire a également attiré des commentaires de dirigeants concurrents dans le domaine de la messagerie.
Pavel Durov, fondateur et PDG de Telegram, a écrit sur X que les allégations s’alignaient avec les critiques passées de Telegram concernant la sécurité de WhatsApp, bien qu’il n’ait fourni aucune preuve liée à la plainte elle-même.
Le propriétaire de X, Elon Musk, a également affirmé que « WhatsApp n’est pas sécurisé », exhortant les utilisateurs à passer à la fonction de messagerie chiffrée de X.
Aucun des deux dirigeants n’a étayé ses affirmations, et des experts ont mis en garde contre la confusion entre rhétorique concurrentielle et preuve technique. Cependant, la plainte arrive à un moment sensible pour Meta, notamment sur les marchés émergents où WhatsApp domine la communication quotidienne.
L’Inde seule compte plus de 850 millions d’utilisateurs WhatsApp, le Brésil ajoutant 148 millions, rendant toute contestation sérieuse des promesses de confidentialité de la plateforme significative bien au-delà des tribunaux américains.
Quoi de neuf ?
Le scepticisme fait suite au dépôt de l’action collective proposée devant un tribunal fédéral en Californie vendredi, qui accuse Meta et sa filiale WhatsApp de maintenir des outils internes permettant aux employés d’accéder au contenu des messages privés, malgré des affirmations publiques de chiffrement de bout en bout.

Les plaignants, comprenant des utilisateurs d’Australie, du Brésil, de l’Inde, du Mexique et d’Afrique du Sud, cherchent à représenter des utilisateurs de WhatsApp non américains et non européens depuis 2016.
La plainte allègue que Meta « a isolé » ses équipes internes de manière à empêcher les employés de comprendre pleinement comment fonctionnait l’accès aux messages WhatsApp, et que les utilisateurs sont contraints de se fier aux assurances publiques de Meta parce que la pile de messagerie complète de WhatsApp n’est pas open source ni auditable de manière indépendante.
Elle invoque des violations des lois fédérales et californiennes sur la vie privée, une rupture de contrat, un enrichissement injuste et une concurrence déloyale, et fait référence à des déclarations publiques passées du PDG de Meta, Mark Zuckerberg, affirmant que l’entreprise ne peut pas lire les messages WhatsApp.
Meta a rejeté fermement ces allégations. Dans un communiqué partagé avec Decrypt, un porte-parole de l’entreprise a qualifié ces affirmations de « catégoriquement fausses et absurdes ».
« WhatsApp est chiffré de bout en bout en utilisant le protocole Signal depuis une décennie », a déclaré le porte-parole. « Cette plainte est une œuvre de fiction frivole, et nous poursuivrons des sanctions contre les avocats des plaignants. »