Cloudflare décharge aujourd’hui les utilisateurs soucieux de leur sécurité, qui devaient auparavant vérifier manuellement les clés publiques auprès de leurs contacts. En contrôlant automatiquement que les clés publiques n’ont pas été altérées, Cloudflare permet de développer d’établir un climat de confiance dans le fait que les messages chiffrés de bout en bout ont bien été envoyés aux destinataires prévus. WhatsApp travaille depuis longtemps avec Cloudflare à des fins de vérification de sécurité et devient à nouveau la première plateforme de messagerie à mettre en œuvre ce nouveau processus d’audit afin de renforcer la confiance des utilisateurs dans son application.

Le chiffrement de bout en bout (End-to-End Encryption, E2EE) est un type de chiffrement permettant de conserver le caractère privé des messages vis-à-vis de tout le monde, y compris du service de messagerie en lui-même. Grâce au chiffrement de bout en bout, les messages sont uniquement visibles par l’expéditeur et le destinataire prévu. Lorsqu’un utilisateur envoie un message, ce dernier est chiffré sur l’appareil avant d’être transmis par Internet. Le message est ainsi codé de manière à ce que seul l’appareil du destinataire puisse le déchiffrer. Comme le message est chiffré, même WhatsApp ne peut lire son contenu. Lorsque le message arrive sur l’appareil du destinataire, accompagné d’une clé publique correspondante, il est alors déchiffré sous sa forme originelle afin que le destinataire puisse le consulter. De nombreux services proposent un processus de vérification de clé de sécurité permettant de garantir que les utilisateurs communiquent en effet avec le destinataire prévu.

Si la vérification de l’infrastructure de messagerie E2EE constitue le point le plus pertinent pour les utilisateurs soucieux de leur sécurité, comme les journalistes, les activistes et les défenseurs des droits humains, elle n’en est pas moins recommandée pour tout le monde. Les utilisateurs soucieux de leur sécurité peuvent contrôler manuellement la sécurité de leur conversation en vérifiant le QR code d’un contact par le biais d’une méthode alternative de communication. Cette vérification doit être effectuée régulièrement, à chaque fois qu’un contact acquiert un nouvel appareil, ou de manière à contrôler que l’application de messagerie elle-même n’a pas modifié ou altéré les clés.

Découvrez Plexi, un outil d’audit de l’infrastructure de transparence des clés
Cloudflare vient de lancer Plexi, un outil d’audit de l’infrastructure de transparence des clés (Key Transparency). La norme émergente Key Transparency a été conçue pour assurer l’authenticité des clés de chiffrement utilisées dans la messagerie de bout en bout. Elle permet d’aider à vérifier que les clés de chaque côté de la communication sont légitimes, afin de permettre une réception et une lecture sécurisées des messages. Cloudflare peut désormais se comporter comme une structure d’audit au sein de cette technologie, en vérifiant que les journaux relatifs à ces clés sont construits de manière correcte. De même, nous pouvons fournir une signature d’audit que l’application de messagerie peut ensuite transmettre aux utilisateurs afin de renforcer leur confiance dans le système. Cloudflare est fière de s’associer à WhatsApp afin de servir de structure d’audit à leur bibliothèque open source Auditable Key Directory (AKD, répertoire de clés auditable).