Ex-responsable sécurité de WhatsApp : lacunes dans l’inventaire des données et l’accès interne

Contexte et accusations d’un ancien responsable

Attaullah Baig, ancien responsable de la sécurité chez WhatsApp, déplore l’absence de listes précises répertoriant quelles données d’utilisateurs sont stockées et où elles se trouvent. Par données, il s’agit notamment des métadonnées, des noms, des photos, des informations sur les contacts ou encore de l’appartenance à des groupes.

Il estime qu’il n’existe aucun contrôle clair sur les personnes autorisées à accéder à ces données en interne et qu’aucun protocole ne documente qui a accédé à quelles données et quand. Il soutient qu’environ 1500 collaborateurs auraient un accès complet à ces données sans justification commerciale.

Par ailleurs, il affirme que près de 100 000 comptes WhatsApp seraient quotidiennement manipulés par des personnes non autorisées depuis l’extérieur, et que WhatsApp ne prendrait pas suffisamment ce risque en compte. Il aurait signalé ces problèmes à plusieurs reprises et proposé des améliorations.

Impact potentiel pour le groupe et les investisseurs

Si ces accusations s’avéraient exactes, elles pourraient signifier une violation des obligations d’information et de surveillance prévues par les lois boursières américaines. Un tel état de fait pourrait fragiliser la confiance des investisseurs, avec, en cas de manquement avéré, une amende maximale de cinq millions de dollars. Théoriquement, des peines de prison pour les dirigeants responsables pourraient être envisagées, bien que cela reste rare. Il semble toutefois s’agir d’un différend entre Meta et l’ancien employé. Dans des cas similaires, les plaintes évoluent souvent vers un règlement amiable ou vers une réparation accordée au lanceur d’alerte. Meta pourrait aussi choisir de laisser passer la tempête.

Ce que fait WhatsApp pour la sécurité de ses utilisateurs

L’entreprise n’est pas très transparente sur le périmètre exact de ses pratiques, et les détails publics dépendent en grande partie des déclarations de lanceurs d’alerte. En matière de chiffrement des conversations, les informations disponibles publiquement ne sont pas toujours claires. Des systèmes concurrents sur le marché montrent que des approches différentes peuvent exister. Il est également connu que des données sont collectées et croisées avec des informations provenant d’autres applications de Meta, ce qui participe du modèle économique fondé sur la monétisation d’une large base d’utilisateurs. Meta affirme investir fortement dans la sécurité et la protection des données, ce qui peut être interprété à la lumière de la taille et de l’usage massif de la plateforme.

Équilibre entre sécurité et convivialité

La sécurité a un coût et nécessite des choix en matière de priorités. Selon certains observateurs, renforcer la sécurité peut rendre l’usage de l’application moins fluide. Chez WhatsApp, les priorités internes semblent être orientées vers le maintien d’un usage étendu et du temps passé par les utilisateurs sur l’application.