Meta offre aujourd’hui plus de détails sur la manière dont elle envisage de rendre ses applications de messagerie, WhatsApp et Messenger, interopérables avec des services de messagerie tiers, comme l’exige la nouvelle loi européenne, la loi sur les marchés numériques (DMA). La société avait précédemment indiqué que la participation à des chats tiers serait une expérience facultative pour les utilisateurs, étant donné que les nouvelles intégrations pourraient être une source de spam et d’escroqueries. Il a également indiqué que les tiers devraient signer un accord, mais n’avait pas jusqu’à aujourd’hui partagé les détails de ce que cela inclurait. De plus, Meta déclare désormais qu’elle demandera à des tiers d’utiliser le protocole Signal, même si elle pourrait faire des exceptions à cette règle à l’avenir.
Plus précisément, Meta indique qu’il autorisera uniquement les développeurs tiers à utiliser un autre protocole que Signal, « s’ils sont en mesure de démontrer qu’il offre les mêmes garanties de sécurité que Signal ».
L’entreprise vante les avantages du protocole Signal, utilisé à la fois par WhatsApp et Messenger pour leur cryptage. Messenger déploie toujours E2EE (chiffrement de bout en bout) par défaut, mais WhatsApp propose E2EE par défaut depuis 2016. Parce que Signal représente « l’étalon-or actuel » pour les discussions E2EE, Meta dit qu’il « préférerait » que des tiers utilisez également le même protocole.
La société décrit également les détails techniques de haut niveau sur la manière dont ce cryptage fonctionnerait, ce qui implique que des structures tierces construisent des protocoles de message (Protocol Buffers) – une série de paires clé-valeur – qui sont cryptées à l’aide de Signal, puis regroupées dans strophes de message (un mécanisme de poussée) en utilisant XML. Les serveurs de Meta, quant à eux, enverront des messages à tous les clients connectés via une connexion persistante.
Les tiers qui se connectent à Meta seront responsables de l’hébergement de tous les fichiers image ou vidéo que leurs applications clientes envoient aux utilisateurs de Meta. Les clients de messagerie de Meta téléchargeront les médias cryptés à partir des serveurs de messagerie tiers à l’aide d’un périphérique proxy Meta, note-t-il.
Crédits images : Méta
Ces détails sont importants car les utilisateurs de l’application de messagerie de Meta, en particulier les utilisateurs de WhatsApp, qui utilisent E2EE par défaut depuis des années, veulent savoir que leurs conversations resteront sécurisées, malgré les changements apportés par le DMA.
Cependant, Meta se protège un peu en disant que, bien qu’il ait construit une solution sécurisée utilisant le protocole Signal pour protéger les messages en transit, il ne peut pas garantir « ce qu’un fournisseur tiers fait avec les messages envoyés ou reçus ». Cela suggère que Meta peut utiliser l’argument selon lequel l’interopérabilité des messageries tierces est potentiellement moins sécurisée comme moyen de maintenir ses utilisateurs engagés uniquement avec les services de messagerie de Meta.
Le billet de blog de l’entreprise explique également que la solution, qui s’appuie sur l’architecture client/serveur existante de Meta, est la meilleure, car elle abaisserait les obstacles à la participation des nouveaux entrants. Mais cela fait de Meta celui qui établit les règles et décide du fonctionnement de l’interopérabilité, bien sûr. Meta note que procéder ainsi améliorera la fiabilité, car l’infrastructure de Meta a déjà été dimensionnée pour gérer plus de 100 milliards de messages par jour. Néanmoins, la société affirme qu’il pourrait exister une approche qui supprimerait l’obligation pour les tiers de mettre en œuvre le protocole client-serveur de WhatsApp, en ajoutant à la place un proxy entre leur client et le serveur WhatsApp. Mais cette solution nécessitera que les tiers acceptent des protections supplémentaires pour protéger les utilisateurs de Meta contre le spam et les escroqueries.
En outre, Meta indique que les fournisseurs tiers devront signer un accord avec Meta ou WhatsApp avant de permettre l’interopérabilité. Il publie aujourd’hui l’offre de référence de WhatsApp pour les fournisseurs tiers et publiera bientôt également l’offre de référence pour Messenger.