Les autorités canadiennes et néerlandaises chargées de la protection de renseignements privés ont accusé lundi la populaire application pour téléphones intelligents WhatsApp de transgresser plusieurs lois dans ce domaine.

Le Commissariat à la protection de la vie privée du Canada et l'autorité néerlandaise de protection des données, le CBP, ont mené une enquête conjointe sur WhatsApp, un système de messagerie instantanée pour téléphones intelligents.

Afin d'utiliser les services de WhatsApp, les utilisateurs doivent consentir à donner accès à l'application à tout leur carnet d'adresses. Tous les numéros de téléphone enregistrés dans leur appareil mobile sont transmis à WhatsApp pour faciliter l'identification d'autres utilisateurs de l'application.

Au lieu de supprimer les numéros de cellulaires des non-utilisateurs, WhatsApp les conserve, alors que les lois canadienne et néerlandaise prévoient que la sauvegarde de renseignements doit avoir un but déterminé. Seuls les utilisateurs de l'application ayant un iPhone avec le logiciel iOS6 peuvent manuellement ajouter des contacts et échappent à ce prélèvement de données.

Le Commissariat et le CBP relèvent également qu'au début de l'enquête, les messages envoyés via l'application n'étaient pas cryptés et pouvaient donc être interceptés, surtout lorsqu'ils étaient envoyés à partir d'un réseau wifi non-protégé. En septembre 2012, WhatsApp a donné suite à l'enquête en cours et a commencé à crypter son service de messagerie.

Selon les deux autorités, WhatsApp générait des mots de passe pour l'échange de messages en utilisant des renseignements associés aux appareils. Ces mots de passe peuvent être facilement révélés. Un tiers pouvait donc envoyer et recevoir des messages au nom des utilisateurs à leur insu. WhatsApp a également modifié son système en utilisant une clé plus sécuritaire générée aléatoirement.

Le Commissariat et le CBP ont collaboré durant l'enquête qui fait suite à une plainte déposée le 26 janvier 2012 mais ont présenté des rapports distincts, selon les lois de protection de la vie privée des deux pays.

En août dernier, WhatsAppp a annoncé sur Twitter avoir dépassé la barre des 10 milliards de messages partagés en un seul jour.