WhatsApp adopte l’algorithme à double cliquet du protocole Signal pour réaliser le chiffrement de bout en bout, couvrant les textes, la voix, la vidéo et les transferts de fichiers. Les clés ne sont stockées que sur les appareils des utilisateurs. Les données officielles montrent que plus de 200 milliards de messages cryptés sont traités quotidiennement, et les tests d’organisations tierces estiment que leur déchiffrement prendrait des milliers de milliards d’années. Comparé à Telegram, où seule la fonction « Secret Chat » est obligatoirement cryptée, WhatsApp protège l’ensemble du chemin de communication contre les écoutes. Les utilisateurs peuvent vérifier l’état du chiffrement en temps réel grâce à l’icône de cadenas sur l’interface de discussion, garantissant que les messages ne peuvent être lus que par l’expéditeur et le destinataire.

Introduction à la technologie de chiffrement

Selon les données publiées par Meta en 2023, WhatsApp traite plus de 100 milliards de messages par jour, dont 99,9 % sont protégés par le chiffrement de bout en bout. Cette technologie de chiffrement est basée sur le protocole open-source Signal, utilisant l’algorithme à double cliquet (Double Ratchet Algorithm) pour garantir que chaque message possède une clé de chiffrement indépendante. Plus précisément, lorsqu’un utilisateur envoie un message, le système utilise la technologie de chiffrement AES 256 bits pour encoder le contenu, qui ne peut être déverrouillé et lu que sur les appareils de l’expéditeur et du destinataire.

Le processus de chiffrement est extrêmement rapide, avec un temps de traitement moyen de seulement 0,3 seconde par message. Cette technologie utilise une combinaison de deux types de clés :

1. Clé d’identité (Identity Key) : une paire de clés à long terme utilisée pour l’authentification.
2. Clé de session (Session Key) : une nouvelle clé générée pour chaque conversation, valable pour un maximum de 7 jours.

Selon les tests de résistance au chiffrement, le protocole de chiffrement de WhatsApp peut résister aux attaques des ordinateurs quantiques et nécessiterait au moins 10^38 calculs pour déchiffrer un seul message. Voici un tableau comparatif des principaux paramètres de chiffrement :

Dans la pratique, le mécanisme de mise à jour des clés est déclenché lorsque l’utilisateur change d’appareil. Le système distribue de nouvelles clés à toutes les conversations de groupe dans les 72 heures, assurant la continuité du chiffrement. Selon les statistiques, cette méthode de chiffrement a réduit le taux de réussite d’interception de messages à 0,00017 %, soit une augmentation d’environ 400 fois la sécurité par rapport au chiffrement SSL traditionnel.

Le protocole de chiffrement inclut également une conception de confidentialité persistante (Forward Secrecy). Même si une clé à long terme est compromise, les enregistrements de communication passés restent protégés. La clé de chiffrement de chaque message est immédiatement détruite après utilisation, et le serveur ne stocke que le texte chiffré, sans accès au contenu en clair. Cette conception signifie que même si un tiers accède aux données du serveur, il faudrait environ 230 millions d’années (selon les estimations de la capacité de calcul actuelle) pour déchiffrer un seul enregistrement crypté d’utilisateur.

Principe du chiffrement de bout en bout

Selon un rapport sur la sécurité de l’information de 2023, la technologie de chiffrement de bout en bout de WhatsApp protège les communications quotidiennes de plus de 200 millions d’utilisateurs, empêchant environ 3 millions de tentatives d’écoute potentielles chaque jour. Le cœur de cette technologie réside dans l’utilisation d’une variante du protocole Signal, qui réalise une mise à jour dynamique des clés via le mécanisme à double cliquet (Double Ratchet). En pratique, le système génère une clé de chiffrement indépendante de 4096 bits pour chaque message, et la validité de la clé est strictement contrôlée pour se rafraîchir automatiquement dans les 60 secondes.

Le processus de chiffrement commence par la génération locale de paires de clés sur l’appareil : chaque appareil génère une paire de clés d’identité permanente (Identity Key) et une paire de clés éphémères temporaires (Ephemeral Key) lors de l’enregistrement. Lorsque l’utilisateur A envoie le premier message à l’utilisateur B, le système utilise le protocole d’échange de clés X3DH pour calculer une clé partagée. Ce processus prend environ 0,15 seconde et a un taux de réussite de 99,98 %.

Une fois la session de chiffrement établie, le transfert de messages utilise un mécanisme de « chiffrement-transmission-destruction ». Chaque message texte est chiffré par l’algorithme AES-256-GCM du côté de l’expéditeur, ce qui augmente le volume de données d’environ 12 % mais ne retarde la transmission que de 3 millisecondes. Pour les fichiers multimédias, le système les chiffre d’abord par blocs : une image de 1 Mo est divisée en environ 16 blocs de données, chaque bloc étant chiffré et transmis indépendamment, de sorte que même si un seul bloc est intercepté, le contenu complet ne peut pas être déchiffré.

La fréquence de mise à jour des clés est un indicateur de sécurité critique. L’algorithme de cliquet de WhatsApp met à jour la clé de session toutes les 50 messages envoyés ou toutes les 72 heures. Même si un attaquant obtient la clé pour une période donnée, il ne pourra déchiffrer qu’environ 0,0003 % des messages passés. La confidentialité persistante (Forward Secrecy) est mise en œuvre via la courbe elliptique Diffie-Hellman (ECDH). Chaque mise à jour de clé nécessite environ 1000 opérations mathématiques, mais l’utilisateur ne le perçoit absolument pas.

Des tests réels montrent que sur un réseau 4G standard, le processus de chiffrement et de déchiffrement augmente le retard de transmission des messages d’environ 80 millisecondes, soit 8 % du temps de transmission total. Le retard de chiffrement pour les appels vocaux est encore plus faible, n’augmentant que de 45 millisecondes avec une distorsion de la qualité audio contrôlée en dessous de 0,05 %.

L’authentification utilise un mécanisme de triple protection : un code de vérification de 64 caractères est généré pour chaque conversation, que l’utilisateur peut comparer hors ligne pour garantir la sécurité du canal. Si l’appareil change, le système re-négocie automatiquement les clés pour toutes les conversations de groupe dans les 24 heures, pendant lesquelles le taux de réussite des messages reste supérieur à 99,7 %. Selon les calculs cryptographiques, déchiffrer une seule clé de session nécessiterait environ 2^128 tentatives de calcul, soit environ 1400 ans de fonctionnement continu pour un supercalculateur existant.

Le mécanisme de notification de sécurité est une défense importante. Lorsque la clé de chiffrement d’un contact change (probabilité d’environ 0,8 %), le système continue d’inviter l’utilisateur à vérifier son identité pendant 72 heures. Le chiffrement de groupe utilise une distribution de clés en chaîne, la synchronisation d’une nouvelle clé pour un groupe de 50 personnes pouvant être complétée en 2,1 secondes, et chaque message de groupe utilise une clé de chiffrement différente.

Comparaison avec le chiffrement d’autres applications

Selon les données d’évaluation de la sécurité des messageries instantanées de 2023, la mise en œuvre du chiffrement par les principales applications présente des différences significatives. WhatsApp est en tête avec un chiffrement de bout en bout activé par défaut à 100 %, tandis que seulement 15 % des discussions secrètes de Telegram utilisent le chiffrement complet, le taux de couverture du chiffrement des discussions privées de WeChat est d’environ 78 % et celui de LINE atteint 92 %. Ces différences affectent directement le niveau de sécurité réel des données des utilisateurs.

Le choix technique du protocole de chiffrement détermine directement la force de la protection. WhatsApp utilise le protocole Signal (v4.3) continuellement optimisé, employant la courbe elliptique Curve25519 pour l’échange de clés et générant une clé de chiffrement de 256 bits pour chaque session. En revanche, le protocole MTProto 2.0 de Telegram utilise le chiffrement AES 256 bits, mais la clé est fixée pour une durée de 24 heures, ce qui augmente le risque de déchiffrement théorique d’environ 30 %. Bien que le protocole auto-développé par WeChat prétende utiliser des clés RSA de 2048 bits, des tests réels montrent que sa fréquence de mise à jour des clés n’est que d’une fois toutes les 72 heures, ce qui est inférieur au mécanisme de mise à jour automatique de WhatsApp toutes les 50 messages.

La synchronisation du chiffrement sur plusieurs appareils est une différence clé. Lorsqu’un utilisateur ajoute un nouvel appareil, WhatsApp complète la synchronisation de la clé de bout en bout en 15 secondes et tous les messages passés sont automatiquement re-chiffrés. Les discussions secrètes de Telegram ne prennent pas en charge la synchronisation sur plusieurs appareils, et les discussions ordinaires sont stockées en texte clair sur le serveur. Bien qu’iMessage prenne en charge le chiffrement de bout en bout, sa sauvegarde iCloud est chiffrée par défaut avec une clé détenue par Apple, ce qui laisse une possibilité théorique d’accès par des tiers (probabilité d’environ 0,02 %). Des tests réels montrent que l’intégrité du chiffrement de WhatsApp dans les scénarios de récupération de messages entre appareils est de 99,8 %, tandis que celle de Telegram n’est que de 67 %.

En termes de transparence de l’audit de sécurité, WhatsApp publie au moins 2 rapports d’audit de sécurité indépendants par an, avec un temps de réponse médian pour la correction des vulnérabilités de 18 heures. La fréquence de mise à jour des rapports d’audit de Telegram est de 0,8 fois par an, avec un temps de correction moyen de 72 heures. Signal, en tant que référence en matière de chiffrement, a la technologie la plus avancée, mais son taux de retard de message est de 5,2 %, bien supérieur aux 1,8 % de WhatsApp. Il est à noter que la version d’entreprise de WeChat utilise des algorithmes de cryptographie nationaux chinois SM2/SM4, mais sa version internationale utilise toujours un chiffrement standard. Cette stratégie de différenciation entraîne une fluctuation d’environ 40 % de la force de sécurité.

Le comportement de l’utilisateur affecte l’efficacité du chiffrement. Environ 35 % des utilisateurs de WhatsApp activent le chiffrement de sauvegarde dans le cloud (en utilisant une clé personnalisée de 64 caractères), tandis que seulement 12 % des utilisateurs d’iMessage activent la protection avancée des données iCloud. Seulement 8 % des utilisateurs de Telegram utilisent régulièrement le mode discussion secrète, et plus de 70 % des discussions de groupe ne sont pas du tout cryptées. Ces différences de comportement entraînent un écart de risque de fuite de données réel pouvant atteindre 17 fois : la probabilité qu’un utilisateur de WhatsApp avec toutes les protections activées subisse une attaque de l’homme du milieu est d’environ 0,0003 %, tandis que le risque pour un utilisateur de Telegram avec les paramètres par défaut est de 0,0051 %.

Le mécanisme de mise à jour est crucial pour la sécurité à long terme. WhatsApp impose une mise à jour des composants de chiffrement tous les 14 jours, garantissant que 99,5 % des appareils exécutent le dernier protocole de chiffrement. Le cycle de mise à jour de LINE est de 30 jours, ce qui fait qu’environ 15 % des appareils présentent des vulnérabilités connues. Les données historiques montrent que WhatsApp a corrigé 12 vulnérabilités liées au chiffrement au cours des 3 dernières années, avec un niveau de gravité moyen de 7,2/10, tandis que Telegram a corrigé 7 vulnérabilités avec un niveau de gravité moyen de 8,5/10. Pour l’utilisateur moyen, choisir une application qui active le chiffrement de bout en bout par défaut et prend en charge la synchronisation multi-appareils peut réduire le risque d’interception de données d’environ 83 %.

Analyse des avantages et des inconvénients de la sécurité

Selon le rapport d’évaluation de la mise en œuvre du chiffrement de bout en bout de 2023, le système de chiffrement de WhatsApp peut résister à environ 99,97 % des attaques de l’homme du milieu dans une utilisation normale, mais son mécanisme de sauvegarde dans le cloud présente un point de risque potentiel d’environ 0,03 %. Le système utilise la version 4.3 du protocole Signal, qui a été optimisée 12 fois et a prouvé sa fiabilité lors d’un déploiement à grande échelle dans 150 pays. Cependant, l’architecture du serveur de Meta a conduit à des compromis techniques dans certains scénarios spécifiques.

Les principaux avantages se manifestent à trois niveaux technologiques :
Tout d’abord, le système de gestion dynamique des clés. La conception de l’utilisation d’une clé indépendante pour chaque message signifie que même si une seule session est déchiffrée (probabilité d’environ 2^-128), la sécurité des autres messages n’est pas affectée. La fréquence de mise à jour des clés est forcée toutes les 50 messages ou 72 heures, ce qui augmente la sécurité d’environ 40 % par rapport au mécanisme de mise à jour de clé fixe de 24 heures de Telegram. Deuxièmement, la double protection de la confidentialité persistante et de la confidentialité rétrospective. L’algorithme à double cliquet garantit que même si une clé à long terme est compromise, les attaquants ne peuvent déchiffrer qu’environ 0,0005 % des messages passés. Troisièmement, l’intégrité du chiffrement lors de la synchronisation sur plusieurs appareils. Lorsqu’un nouvel appareil est ajouté, le transfert de la clé de bout en bout est effectué en 15 secondes en moyenne, et 98,7 % des messages passés sont automatiquement re-chiffrés.

Cependant, il existe les limitations techniques suivantes : le chiffrement de sauvegarde dans le cloud est un mode facultatif, et seulement environ 35 % des utilisateurs activent la clé de chiffrement personnalisée de 64 bits, ce qui signifie que 65 % des données de sauvegarde peuvent théoriquement être consultées sur le serveur. Bien que le chiffrement de groupe utilise la distribution de clés en chaîne, le nombre de combinaisons de clés de déchiffrement pour un groupe de 50 personnes peut atteindre 1200, ce qui augmente la probabilité d’échec du déchiffrement d’environ 0,8 %. De plus, la compatibilité multiplateforme entraîne un décalage d’environ 3 secondes dans la synchronisation du chiffrement entre les versions de bureau de Windows et d’iOS, ce qui peut entraîner une désynchronisation de 0,02 % des messages.

Tableau comparatif des indicateurs de sécurité spécifiques :

La quantification des risques réels montre que la probabilité qu’un compte avec toutes les fonctions de sécurité activées subisse une attaque réussie est d’environ 0,00035 %, tandis que le risque pour un compte avec les paramètres par défaut passe à 0,0021 %. Le point de risque le plus important est que lorsqu’un utilisateur change de numéro de téléphone, il y a une fenêtre de 72 heures pendant laquelle l’ancien appareil n’est pas déconnecté à temps. Pendant cette période, les messages peuvent être envoyés simultanément aux anciens et aux nouveaux appareils. Selon les données de 2023, environ 0,8 % des comptes sont dans cette situation lors d’un changement.

En termes de solutions, il est recommandé aux utilisateurs de vérifier le code de sécurité de chiffrement tous les 90 jours, d’activer la vérification en deux étapes et de configurer une clé de sauvegarde dans le cloud de 64 bits. Ces mesures peuvent réduire le risque de 82 % supplémentaires, ramenant le taux de réussite final d’une attaque à environ 0,00006 %. Les utilisateurs d’entreprise peuvent également configurer des stratégies de gestion MDM pour exiger que tous les employés mettent à jour l’authentification de l’appareil tous les 30 jours, ce qui peut réduire davantage le risque de conversation de groupe d’environ 45 %.

Détails d’utilisation pratique

Selon le rapport sur le comportement des utilisateurs de Meta au premier trimestre 2024, WhatsApp traite en moyenne 120 milliards de messages par jour, et 92 % des utilisateurs interagissent avec au moins 5 appareils par jour (comme changer de téléphone, se connecter à une tablette). Cependant, en pratique, environ 38 % des risques de sécurité proviennent de malentendus de l’utilisateur sur les mécanismes de chiffrement ou d’erreurs d’utilisation, comme ignorer les invites de mise à jour des clés, utiliser des clients non officiels ou ne pas configurer correctement le chiffrement de sauvegarde. Ces actions apparemment mineures peuvent réduire l’efficacité de la protection du chiffrement de bout en bout de plus de 40 %.

La synchronisation des clés lors du changement d’appareil est la partie la plus souvent négligée. Lorsque vous passez d’un ancien à un nouveau téléphone, WhatsApp synchronise automatiquement les clés des conversations passées avec le nouvel appareil dans les 72 heures. Cependant, les données de test montrent que si l’ancien téléphone n’est pas complètement déconnecté (probabilité d’environ 22 %), le nouvel appareil peut recevoir des messages en même temps, ce qui entraîne un état de « double appareil en ligne » pendant une moyenne de 18 heures. Pendant cette période, les messages sont envoyés simultanément aux anciens et nouveaux appareils. Bien que le contenu soit toujours chiffré, cela augmente le risque qu’un « même utilisateur reçoive des informations sensibles sur plusieurs appareils » (par exemple, la probabilité qu’une conversation professionnelle soit lue par inadvertance sur le téléphone d’un membre de la famille augmente de 15 %).

Lors de la connexion sur plusieurs appareils, l’efficacité de la synchronisation du chiffrement est directement liée aux performances de l’appareil. Les tests montrent que lors de la connexion simultanée sur un iPhone 15 Pro (puce A17 Pro) et un iPad Pro (puce M2), le temps moyen pour re-chiffrer les messages passés est de 12 secondes, avec un taux de réussite de 99,3 %. Cependant, avec un ancien téléphone Android (comme le Snapdragon 665) couplé à une tablette, le temps s’allonge à 28 secondes et il y a une probabilité de 3 % que le chiffrement échoue en raison d’une mémoire insuffisante (se manifestant par des messages affichant « non livré »). Plus important encore, lorsque 5 appareils sont en ligne simultanément, le temps de traitement du chiffrement pour chaque nouveau message augmente de 0,5 milliseconde. Bien que cela soit à peine perceptible à l’œil nu, une utilisation à long terme peut entraîner un retard total cumulé de 1,5 heure pour les utilisateurs qui envoient plus de 5000 messages par mois.

Le mécanisme de chiffrement des conversations de groupe cache la caractéristique que « plus il y a de membres, plus le risque est caché ». Chaque message dans un groupe de 50 personnes nécessite la génération de 1200 combinaisons de clés indépendantes (chaque membre correspondant à 24 sous-clés), avec une probabilité d’échec de déchiffrement d’environ 0,8 % (se manifestant principalement par certains membres voyant des « caractères brouillés »). Si un nouveau membre est ajouté au groupe, le système termine la distribution de la nouvelle clé en 2,1 secondes. Cependant, des tests ont révélé que lorsque plus de 30 membres sont en ligne simultanément dans le groupe, le délai de réception des messages passés pour les nouveaux membres passe de 0,3 seconde à 2,8 secondes. Pendant cette période, si des informations sensibles sont transmises, les membres « en retard » peuvent soupçonner que « le message a été intercepté » (bien qu’il s’agisse en fait d’un retard de synchronisation du chiffrement).

Le traitement du chiffrement des fichiers multimédias met davantage l’accent sur les détails. Une image de 1 Mo est automatiquement divisée en 16 blocs de données, chaque bloc étant chiffré indépendamment. Le retard de transmission augmente d’environ 5 % (passant de 200 millisecondes à 210 millisecondes sur un réseau 4G). Cependant, pour une vidéo 1080P (environ 50 Mo), le chiffrement consomme 12 % de données supplémentaires (en raison de l’ajout de plus de données de vérification) et le temps de transcodage augmente de 0,8 seconde (ce qui peut entraîner une augmentation de 2 % du taux d’échec de téléchargement des courtes vidéos). Une découverte plus pratique est que la désactivation de la fonction « téléchargement automatique des médias » réduit la charge de données du traitement du chiffrement de 35 %, car le système ne déchiffre plus les miniatures à l’avance, et le processus de chiffrement complet est déclenché manuellement par l’utilisateur lors du téléchargement.

La sauvegarde et la restauration sont le maillon le plus faible de la chaîne de chiffrement. Seulement 35 % des utilisateurs activent le chiffrement de sauvegarde iCloud/Google Cloud (en utilisant une clé personnalisée de 64 bits), tandis que les 65 % restants des données de sauvegarde sont stockées dans un format lisible par le serveur (avec un risque théorique de fuite de 0,03 %). Des tests réels montrent que le taux de réussite de la récupération des données d’un téléphone perdu sans sauvegarde chiffrée est de 92 %. En revanche, pour un téléphone avec une sauvegarde chiffrée activée, même si le mot de passe est divulgué, un attaquant aurait besoin d’environ 2^64 calculs pour le déchiffrer (ce qui prendrait plus de 100 000 ans avec la technologie actuelle). Plus important encore, lorsque vous restaurez une sauvegarde sur un nouvel appareil, si vous saisissez la mauvaise clé de chiffrement (probabilité d’environ 18 %), tous les messages passés seront définitivement indéchiffrables, ce qui est une perte plus totale que l’interception de messages.

Résumé et recommandations

En résumé, la technologie de chiffrement de bout en bout de WhatsApp, avec ses paramètres par défaut, peut résister à 99,97 % des attaques de l’homme du milieu. Cependant, l’efficacité réelle de la sécurité est fortement corrélée aux habitudes d’utilisation de l’utilisateur. Les données montrent que 38 % des risques de sécurité proviennent d’erreurs de gestion des clés, de sauvegardes non chiffrées ou d’une utilisation excessive de plusieurs appareils. Cette section, combinant les caractéristiques techniques et les données sur le comportement des utilisateurs, propose 5 stratégies de sécurité efficaces et pratiques pour aider les utilisateurs à réduire le risque de 0,0021 % (paramètres par défaut) à 0,00006 % (optimisation complète).

1. Gestion des clés : vérification régulière + vérification en deux étapes

Le cœur du chiffrement de WhatsApp est la « clé dynamique », mais le fait de ne pas changer d’appareil pendant une longue période ou d’ignorer les invites de code de sécurité peut créer des risques cachés. Les données montrent que vérifier le « code de sécurité » une fois tous les 90 jours et le comparer avec un contact peut réduire le risque de « détournement par l’homme du milieu » de 72 % (car 78 % des fuites de clés proviennent du fait que l’appareil perdu n’a pas été déconnecté à temps). Il est recommandé d’activer également la « vérification en deux étapes » (en définissant un mot de passe à 6 chiffres). Même si le numéro de téléphone est volé, l’attaquant ne peut pas contourner la vérification pour se connecter, réduisant ainsi le risque de 85 % supplémentaires. En pratique, le taux de réussite de la récupération de compte après une fuite de mot de passe pour les comptes avec la vérification en deux étapes est de seulement 0,03 % (contre 92 % sans).

2. Utilisation de plusieurs appareils : contrôler le nombre + privilégier les clients officiels

La connexion sur plusieurs appareils est pratique, mais elle augmente considérablement la charge de chiffrement et les risques. Les données montrent que :

• Lorsque vous êtes connecté sur 3 appareils simultanément, le délai de chiffrement pour chaque message n’augmente que de 0,5 milliseconde, un risque presque négligeable ;

• Si vous êtes connecté sur plus de 5 appareils, le taux d’échec de la synchronisation des messages peut passer de 0,8 % à 3,2 % (en raison de l’augmentation de la pression de la distribution des clés), et le délai de message entre les appareils peut dépasser 2 secondes (ce qui peut facilement entraîner une mauvaise interprétation de « message intercepté »).
  Il est recommandé de ne se connecter que sur 2-3 appareils d’utilisation courante et de privilégier les clients officiels (les clients tiers désactivent le chiffrement dans 70 % des cas). Les tests ont révélé que le taux de réussite de la synchronisation du chiffrement entre les clients officiels iOS et Android est de 99,5 %, tandis qu’il n’est que de 67 % pour les clients tiers.

3. Chiffrement de sauvegarde : toujours activer + clé personnalisée

La sauvegarde dans le cloud est le maillon le plus faible de la chaîne de chiffrement. Seulement 35 % des utilisateurs activent le chiffrement de sauvegarde, ce qui laisse 65 % des données de sauvegarde stockées en texte clair ou avec un chiffrement faible (risque théorique de déchiffrement de 0,03 %). Des tests réels montrent qu’après l’activation d’une clé de sauvegarde personnalisée de 64 bits, le temps de déchiffrement passe de « plus de 100 000 ans » à « presque impossible » (nécessitant 2^64 calculs, ce qui prendrait 1200 ans de fonctionnement continu pour un supercalculateur existant). Plus important encore, la probabilité de saisir une clé de chiffrement incorrecte lors de la sauvegarde est d’environ 18 %. Il est recommandé de stocker la clé dans un carnet physique ou un gestionnaire de mots de passe (comme 1Password) pour éviter une perte permanente en cas de perte de l’appareil électronique.

4. Sécurité de groupe : contrôler le nombre de personnes + surveiller les mises à jour de clés

Le risque des conversations de groupe augmente de manière exponentielle avec le nombre de membres : la probabilité d’échec du déchiffrement pour un groupe de 50 personnes est d’environ 0,8 % (se manifestant principalement par des « caractères brouillés » vus par certains membres). Si le nombre de membres dépasse 100, le taux d’échec peut atteindre 2,5 %. De plus, lors de l’ajout d’un nouveau membre, le système a besoin de 2,1 secondes pour terminer la distribution de la clé. Si plus de 30 membres sont en ligne simultanément dans le groupe, le délai de réception des messages passés pour le nouveau membre passera de 0,3 seconde à 2,8 secondes (ce qui peut entraîner une mauvaise interprétation des informations). Il est recommandé de limiter le nombre de membres des groupes sensibles à moins de 50 personnes et d’activer la fonction « vérification requise pour l’adhésion » (ce qui peut réduire le risque d’infiltration d’utilisateurs malveillants de 30 %).

5. Vérification régulière : correction des vulnérabilités + mises à jour des fonctionnalités

WhatsApp impose une mise à jour des composants de chiffrement tous les 14 jours. La mise à jour en temps voulu du système de l’appareil et du client peut réduire le risque de vulnérabilités connues de 99,5 %. Les données montrent que la probabilité qu’un appareil non mis à jour à temps subisse une attaque « contournant l’algorithme à double cliquet » est 12 fois supérieure à celle d’un appareil ordinaire (car les anciennes versions du protocole ont 7 vulnérabilités rendues publiques). Il est recommandé d’activer la fonction « mise à jour automatique » et de vérifier manuellement les mises à jour de l’App Store une fois par mois (le taux de mise à jour des utilisateurs iOS est de 92 %, contre seulement 67 % pour Android, où le risque est plus élevé).