Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Meta détaille son plan d’action pour ouvrir Messenger et WhatsApp aux autres messageries

Meta cagoule

Meta détaille son plan d’action pour ouvrir Messenger et WhatsApp aux autres messageries

On savait que Meta travaillait sur l’interopérabilité de WhatsApp avec d’autres messageries, en vertu de son statut de contrôleur d’accès imposé par le DMA. Maintenant que ce dernier est appliqué, la société donne un peu plus de détails et y intègre Messenger, également concerné par les mesures.

Le 07 mars à 16h10

Le DMA impose aux très grosses sociétés des obligations particulières pour les empêcher de distordre la concurrence. Chez Apple, cela se traduit par de vastes changements au sein d’iOS et de l’App Store, ainsi que par des récriminations. Chez Google, plusieurs modifications ont été faites dans les services, notamment la recherche qui ne peut plus intégrer certains services. Chez Meta, cela passe surtout par un gros chantier sur les deux messageries les plus utilisées au monde, Messenger et WhatsApp.

On avait déjà une bonne idée de ce que préparait l’entreprise, car elle avait communiqué sur le sujet il y a un mois. Il s’agissait, dans les grandes lignes, de créer une infrastructure d’interconnexion où deux protocoles de chiffrement entreraient en contact : celui de l’application requérante et le protocole Signal, utilisé par WhatsApp.

« Cela permet aux utilisateurs de fournisseurs tiers qui choisissent d'activer l'interopérabilité d'envoyer et de recevoir des messages avec des utilisateurs ayant opté pour Messenger ou WhatsApp – tous deux désignés par la Commission européenne comme devant fournir de manière indépendante l'interopérabilité aux services de messagerie tiers », explique ainsi Meta dans un billet publié hier soir.

Meta vante une approche centrée sur la vie privée

Meta assure une nouvelle fois travailler sur le sujet depuis deux ans, en coopération avec la Commission européenne. « L'interopérabilité est un défi technique, même quand on se concentre sur les fonctionnalités de base exigées par le DMA », ajoute tout de même Meta. Car pour l’instant, l’exigence « porte sur la messagerie texte 1:1 entre utilisateurs individuels et sur le partage d'images, de messages vocaux, de vidéos et d'autres fichiers joints entre utilisateurs finaux individuels ». Mais plus tard, il faudra étendre ces fonctions aux groupes et aux appels audios et vidéos.

Pour qu’une messagerie puisse interopérer avec Messenger ou WhatsApp, il faudra signer un accord avec Meta. Après quoi la société travaillera avec le nouveau partenaire « pour permettre l’interopérabilité ».

Meta affirme que son approche de la conformité avec le DMA est centrée sur la préservation de la vie privée et de la sécurité des utilisateurs. Elle ajoute tout de même : « dans la mesure du possible ». L’entreprise rappelle qu’elle utilise le protocole Signal dans WhatsApp depuis 2016. Dans Messenger, il est en cours de déploiement. On peut se demander d’ailleurs si la grande panne qui a touché Facebook et Instagram, la veille de l’entrée en application du DMA, n’était pas liée à un déploiement quelconque.

Ce que demande Meta pour communiquer avec ses messageries

Idéalement, Meta aimerait que les partenaires se servent de Signal pour échanger avec WhatsApp et Messenger. Elle leur permet toutefois d’utiliser un autre protocole, « s'ils sont en mesure de démontrer qu'il offre les mêmes garanties de sécurité que Signal ».

Pour que ces échanges fonctionnent, les partenaires devront construire des structures de protobufs pour les messages, qui seront ensuite chiffrées via le protocole Signal. Après quoi, elles seront regroupées dans des strophes de messages en XML. Via des connexions permanentes, les serveurs de Meta envoient ensuite des messages aux clients connectés de l’autre messagerie.

« Il est important de noter que la promesse E2EE que Meta fournit aux utilisateurs de ses services de messagerie exige que nous contrôlions à la fois les clients expéditeurs et les clients destinataires. Cela nous permet de nous assurer que seuls l'expéditeur et le(s) destinataire(s) prévu(s) peuvent voir ce qui a été envoyé, et que personne ne peut écouter votre conversation sans que les deux parties le sachent », précise Meta, qui confirme encore une fois que les échanges ne se feront qu’entre messageries utilisant le chiffrement de bout en bout.

L’entreprise tient cependant à préciser deux points. D’une part, ce sont bien les serveurs tiers qui seront chargés d’héberger les fichiers multimédias envoyés depuis des applications clientes aux messageries de Meta. Après réception des messages, les applications de Meta téléchargeront le média chiffré depuis les serveurs tiers, via un service mandataire (proxy).

D’autre part, Meta ne pourra « pas garantir ce qu'un fournisseur tiers fait des messages envoyés ou reçus ». Pour cela, il faudra que l’entreprise soit propriétaire des deux extrémités.

Un peu plus sous le capot

De manière plus précise, les clients tiers se connecteront aux serveurs WhatsApp via XMPP. Une liaison HTTP s’établira ensuite pour « faciliter un certain nombre de choses, notamment l'authentification des utilisateurs tiers et les notifications push ».

De son côté, WhatsApp expose une API d’enrôlement. Lors de son premier enregistrement sur le réseau, l’utilisateur d’un client tiers recevra un identifiant unique pour le réseau WhatsApp qui lui servira pour les protocoles, le stockage et autres.

À la connexion ou à l’inscription, les clients tiers doivent cependant fournir une preuve de qui ils sont. Cette preuve « est constituée par la signature cryptographique d'un jeton d'authentification par le service tiers. WhatsApp utilise le protocole OpenID standard (avec quelques modifications mineures) ainsi qu'un jeton Web JSON (jeton JWT) pour vérifier l'identifiant visible de l'utilisateur au moyen de clés publiques récupérées périodiquement sur le serveur tiers », explique Meta.

Le réseau WhatsApp utilisant le protocole Noise pour chiffrer les communications entre clients et serveurs, les clients tiers devront pouvoir négocier des poignées de mains (Noise Handshake) chaque fois qu’ils se connecteront à l’infrastructure. Cette poignée de mains contiendra notamment le jeton JWT. Après quoi entrent en piste les strophes XML évoquées précédemment.

Meta ajoute qu’il est techniquement possible de laisser les partenaires mettre en place des serveurs intermédiaires (proxy). Ils auraient alors plus de flexibilité et de contrôle « sur ce que leur client peut recevoir du serveur WhatsApp et supprimerait également l'obligation pour les clients tiers d'implémenter le protocole client-serveur de WhatsApp, c'est-à-dire de maintenir leur "canal de discussion" existant sur leurs clients », explique l’entreprise.

Le revers est que WhatsApp « perdrait des signaux de niveau de connexion qui sont importants pour protéger les utilisateurs contre le spam et les escroqueries, telles que les empreintes TCP ». Cette solution sera proposée plus tard, quand Meta aura déterminé sa liste « d’exigences supplémentaires » pour ce cas de figure. Autre problème, cette méthode exposerait « toutes les métadonnées du chat au serveur proxy, ce qui augmente la probabilité que ces données soient accidentellement ou intentionnellement divulguées ».

Que des avantages, selon Meta

Meta semble intimement persuadée qu’il s’agit de la meilleure solution pour rendre l’interopérabilité possible, sans sacrifier la sécurité. Elle cite d’ailleurs de nombreux avantages.

Le plus important est que la société assure que cette solution permettra « un grand nombre des mêmes contrôles d’intégrité que pour les utilisateurs existants de Meta ». On notera qu’elle dit bien « un grand nombre », et pas simplement « les mêmes » contrôles. En l’absence d’informations complémentaires, on ignore quelles étapes seront sautées.

Autre avantage selon Meta, un modèle « prêt à l’emploi » et « réduisant les obstacles pour les nouveaux entrants potentiels et les coûts pour les fournisseurs tiers ».

La firme assure aussi que son modèle « maximise la protection de la vie privée des utilisateurs en limitant l'exposition de leurs données personnelles aux seuls serveurs Meta ». Ce qu’une partie des utilisateurs trouvera amplement suffisant, car si le protocole Signal, tel qu’utilisé, chiffre bien de bout en bout le contenu des conversations, ce n’est pas le cas des métadonnées.

Enfin, la fiabilité du service serait garantie, puisqu’il emprunterait l’infrastructure client-serveur existant de Meta, « déjà dimensionnée au niveau mondial pour traiter plus de 100 milliards de messages par jour ».

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Je n'ai toujours pas eu la MAJ pour Whatsapp. :(
votre avatar
Je n'utilise ni WhatsApp, ni Messenger, mais j'ai pas l'impression d'une grande ouverture. ça permettra à Meta de récupérer de nouveaux utilisateurs (via d'autres plateformes, mais techniquement ça en fera bien des nouveaux utilisateurs), mais moi je ne vois pas ce que j'y gagne.
votre avatar
Tu n'y perds rien non plus, c'est déjà un début :D
Il leur est demandé de s'ouvrir aux autres, c'est ce qu'ils font... J'ai l'impression d'une plus grande ouverture que Apple ou Google, mais je me trompe peut être. Il faut laisser se faire les choses pour voir.
votre avatar
Vite fait la plus grande ouverture. Déjà c’est une usine à gaz, Ensuite il faut signer un contrat avec Meta (j’ai pas trouvé les conditions, est-ce que c’est gratuit par exemple ?), ensuite il faut « démontrer » (comment ?) que ta solution d’interoperabilité est aussi sécurisée que Signal sinon Meta décidera que c’est niet (de là à ce qu’ils demandent un accès à ton infra pour l’auditer …) … bref, ça sent quand même les bons bâtons dans les roues pour l’implémentation.

Ensuite de ça, les messages n’arriveront pas dans la boîte de réception mais dans une « section distincte » (en gros tu seras un contact de 3ème classe) et il me semble aussi avoir lu que tout ce bazar ne sera disponible que pour les utilisateurs européens communiquant avec des utilisateurs européens. Dans le genre j’y vais à reculons on est sur du Apple multiplié par 0.9.
votre avatar
J'ai dit "une plus grande ouverture que..", j'e n'ai pas dit "une grande ouverture".
Usine à gaz, techniquement ca peut faire peur mais rien d'insurmontable...
Prouver que c'est sécurisé, c'est du bon sens pour moi, il ne faut pas que cela se fasse au détriment de la sécurité. Après forcément, Meta ne va pas encourager l'usage d'autres outils...

Mais vous pensiez quoi ? Que Meta allait balancer un jeu d'API ouvert à tous et qu'ils allaient proposer de transiter par des serveurs tiers pour ensuite afficher les messages dans WhatsApp sans différenciation ? En un claquement de doigt tout le monde peut se connecter et le monde il est tout beau ? :fume:
votre avatar
Mais vous pensiez quoi ? Que Meta allait balancer un jeu d'API ouvert à tous et qu'ils allaient proposer de transiter par des serveurs tiers pour ensuite afficher les messages dans WhatsApp sans différenciation ? En un claquement de doigt tout le monde peut se connecter et le monde il est tout beau ? :fume:
Ah mais moi j'ai jamais pensé ça. Par contre je suis à peu près sûr que oui, c'était l'esprit de ce que recherchait le DMA.

Cela dit, à mon humble avis, Meta comme Apple tentent le coup des manigances techniques mais ne se rendent pas forcément compte que la commission a tout le pouvoir de les observer et de préparer en coulisses un DMA 1.1. Je ne sais pas quelle ténacité aura la CE sur cette affaire, mais j'ai l'impression que les GAFAM semblent oublier qu'à la fin c'est la CE qui fait les règles et donc c'est la CE qui gagne.

La mission même de la CE, sa raison d'être, c'est de préserver la libre concurrence au sein de l'UE. Si le DMA 1.0 ne suffit pas à ce que d'autres acteurs (de préférences auropéens) puissent jouer à armes égales, elle a tout intérêt à sortir le DMA 1.1. Et vu la tronche des amendes (10% max du CA du groupe), elle a même peut être intérêt à faire des exemples.

Je trouve sincèrement qu'ils pavanent beaucoup moins et jouent bien moins au chat et à la souris quand il s'agit d'appliquer les règlementations chinoises.

Je n'arrive pas à voir à quel moment la CE a intérêt à plier. Sauf cas de corruption mais je pense que si c'était le cas ça se serait fait bien en amont parce que là même sans froncer les sourcils, le DMA en l'état permet à beaucoup d'acteurs d'attaquer les GAFAM en justice.
votre avatar
Dans l'esprit, il n'y avait aucune chance qu'un sujet si complexe techniquement, qui engage de grosses sommes et peut entailler les revenus des DMA se fasse si facilement avec une de l'ouverture. Mais pour l'instant Meta fait ce qu'on lui demande.
C'est pour ca que je pense qu'il faut laisser faire les choses un peu... Là c'est tout frais et pas vraiment opérationnel, donc hormis des annonces, rien de concret. Mais j'espère que la CE interviendra si les DMA complexifient ou monétisent trop.
votre avatar
Pour échanger avec un tiers sur Signal, je n'ai plus besoin de lui donner mon N° de téléphone, un pseudo suffit.
Je n'arrive pas à savoir si, avec le pseudo Signal utilisé pour cela, il sera possible d'initier un dialogue avec un usager d'une des applications de Meta ?
votre avatar
En théorie oui, en pratique il faut que Signal signe un accord avec Meta (dont on ne connaît pas les termes), qu’ils travaillent avec Meta pour l’implém, qu’ils leur démontrent que c’est sécurisé et enfin tout à la fin si tout se passe bien tu pourras envoyer un message à tes contacts WhatsApp mais pas dans leur boîte de réception, il arrivera dans une section utilisateurs dangereux « messageries tierces » ou un truc comme ça.
votre avatar
Ben vu que Meta a "piqué" le protocole de Signal pour WhatsApp, ils ont quoi à démontrer exactement, Signal ? Parce que si ça n'est pas assez sécurisé, c'est que WhatsApp non plus, hein... :reflechis:
votre avatar
Ben justement ils disent que pour communiquer avec eux tu dois utiliser un protocole au moins aussi sécurisé que Signal. Ici ce sera surtout au niveau de l'implem de la passerelle qu'ils vérifieront.
votre avatar
Merci de vos réponses, mais si leur mauvaise foi est telle, ma question est finalement purement rhétorique.
Je continuerai à exister sans cette fraction du monde...
votre avatar
Ce sous-titre, merci Vincent 🤣
votre avatar
C'est un peu du réchauffé :
1
2
3
votre avatar
Je sais pas, mais je trouve qu'on a toujours du mal à y croire les yeux dans les yeux.

Et comme quelqu'un le disait justement ici: "quand c'est gratuit, alors c'est que le produit, c'est vous".

Alors s'ils ne peuvent plus capter grand chose, le business plan, y va pas prendre un peu l'eau, non ? "

Et :mdr2: pour le sous titre !
votre avatar
L'adage est faux, à mon sens. Il serait plus judicieux de dire : "si vous êtes le produit, alors ce n'est pas gratuit". Une nuance qui a son importance, sinon tous les projets open source/libres sont automatiquement suspicieux... Je pinaille, oui :D

Dans le cas présent, je ne me fais pas trop de soucis pour Meta. Je pense que la majorité des messages échangés seront toujours entre l'application WhatsApp officielle.

Et si on parle du point de vue sécurité, on sait que le chiffrement de bout en bout est implémenté et efficace. Le réel problème de cette messagerie, ce sont les très nombreuses métadonnées non-chiffrées qui doivent faire le bonheur de Meta :mdr:
votre avatar
Eh bien moi je pense que si Meta et Apple (pour l'instant) sont aussi agressives envers le DMA (faut voir la gueule des communiqués Apple, c'est limite si ils veulent pas te faire croire que ton iPhone devient une passoire en europe), c'est qu'en effet le business plan prend l'eau.

Et Meta comme Apple comme Google, pub ou pas, leur business plan depuis des années se résume à "on continue sans rien changer, on utilise notre position pour empêcher la concurrence d'émerger, et si malgré ça ça bronche trop, on rachète".
votre avatar
Rien à rajouter. :yes:
votre avatar
Je pense qu'à priori la première messagerie interconnectée avec WhatsApp devrait être Signal, puisque WhatsApp utilise le protocole de Signal entre les clients (sur smartphones ou ordinateurs de bureau) et ses serveurs.
votre avatar
Il faudrait que Signal en ait envie, ce qui n'est pas sûr.

Par contre Element est hyper motivé pour être interopérable avec Whatsapp, ils travaillent déjà avec eux sur le sujet. Apparemment ils ont réussi à connecter leurs serveurs Matrix avec les APIs fournies par Whatsapp dans le cadre du DMA : https://element.io/blog/the-eu-digital-markets-act-is-here/
votre avatar
La firme assure aussi que son modèle « maximise la protection de la vie privée des utilisateurs en limitant l’exposition de leurs données personnelles aux seuls serveurs Meta ».

On le sait déjà que Meta fait son beurre sur les métadonnées dans le cadre de Whatsapp. Donc l'argument de sécurité c'est, si je comprend bien, "c'est super sécurisé parce que y'a que nous (Meta, entreprise du capitalisme de surveillance) qui pouvons savoir ce que vous faites"

En somme si depuis Signal j'écris à quelqu'un sur Whatapp, tout l'effort fait du coté de Signal pour limiter le stockage et l'utilisation des métadonnées est saboté par Meta :fou:
votre avatar
Ben ça après pour le coup c'est logique. T'as beau te faire ton serveur mail maison chiffré dans un bunker à 2km sous terre, si ton correspondant utilise Gmail bah Google aura accès à vos échanges. Mais au moins tu peux lui écrire (en faisant attention à ce que tu dis du coup).
votre avatar
Mark Z. avait dit que les US$ 17B (milliards) claqués pour acheter WhatsApp, ben ça les valait tout à fait.

Après, était-ce un mensonge pour rassurer les traders qui ont eu un frisson sur le moment, autant de pognon de claqué pour une messagerie instantanée et qu'il n'avait pas fait une (grosse) connerie ou bien c'était la vérité vraie... (avec tout ce qu'on va pouvoir en retirer et surtout... monnayer...) ?

Je dirais 50/50... :keskidit:

Meta détaille son plan d’action pour ouvrir Messenger et WhatsApp aux autres messageries

  • Meta vante une approche centrée sur la vie privée

  • Ce que demande Meta pour communiquer avec ses messageries

  • Un peu plus sous le capot

  • Que des avantages, selon Meta

Fermer