WhatsApp a commencé cette semaine à déployer la réservation des noms d’utilisateur, en amont du lancement plus large prévu plus tard cette année. Cette fonctionnalité, qui permet aux utilisateurs de se trouver et de s’envoyer des messages à l’aide d’un identifiant plutôt qu’avec un numéro de téléphone, soulève déjà des inquiétudes liées à l’usurpation d’identité. Elle attire l’attention des experts en cybersécurité et des régulateurs en Inde, le plus grand marché de l’application, qui compte plus de 500 millions d’utilisateurs.
Ce déploiement marque un changement dans la manière dont les personnes s’identifient entre elles sur WhatsApp. Au lieu de s’appuyer sur les numéros de téléphone comme principal moyen d’identification, les utilisateurs interagiront de plus en plus au moyen de noms d’utilisateur gérés par la plateforme. Meta affirme que cette évolution améliore la confidentialité, mais ses détracteurs estiment qu’elle pourrait créer de nouvelles opportunités d’usurpation d’identité.
Lors des premiers tests, TechCrunch a constaté que des noms d’utilisateur ressemblant à ceux de personnalités politiques, de célébrités, d’hommes d’affaires et d’institutions publiques étaient encore disponibles à la réservation. Parmi eux figuraient notamment « indiamodi », « shahrukh.actor », « teamamitabh », « ambanijio » et « rbi_verify ». Ces noms font respectivement référence au Premier ministre indien Narendra Modi, aux acteurs de Bollywood Shah Rukh Khan et Amitabh Bachchan, à Jio, l’entreprise de télécommunications du milliardaire Mukesh Ambani, ainsi qu’à la Banque centrale de l’Inde. De son côté, le fondateur de Binance, Changpeng Zhao, a déclaré sur X qu’il n’avait pas pu réserver « cz_binance », l’identifiant qu’il utilise déjà sur cette plateforme.
Interrogée sur les mesures prises pour lutter contre l’usurpation d’identité, Meta a indiqué à TechCrunch qu’elle réserve les noms d’utilisateur des personnalités publiques, des entités gouvernementales ainsi que « certaines variantes » de ces noms, afin que seuls les propriétaires légitimes puissent les revendiquer. L’entreprise n’a toutefois pas expliqué comment elle décide quels noms d’utilisateur similaires sont réservés de manière proactive et lesquels ne le sont pas.
Ces préoccupations ont déjà atteint les autorités de régulation en Inde, où les fraudes en ligne exploitent fréquemment les plateformes de messagerie pour se faire passer pour la police, des banques ou des responsables gouvernementaux.
Dans une notification envoyée mercredi à WhatsApp et consultée par TechCrunch, le ministère indien de l’Électronique et des Technologies de l’information, le MeitY, a estimé que cette fonctionnalité pourrait « augmenter de manière significative l’incidence de la fraude en ligne, du phishing, des escroqueries à l’arrestation numérique et des attaques par usurpation d’identité », en permettant à des acteurs malveillants de contacter les utilisateurs sans révéler leur numéro de téléphone.
Le ministère a également averti que les noms d’utilisateur pourraient faciliter l’usurpation d’identité de « particuliers, d’autorités publiques, d’institutions financières et d’agences gouvernementales », en permettant la création d’identifiants très proches de ceux de personnes ou d’organisations authentiques. Il a demandé à WhatsApp d’expliquer pourquoi des mesures réglementaires ne devraient pas être engagées au titre des lois indiennes sur les technologies de l’information. Le ministère a aussi demandé à l’entreprise de ne pas déployer la fonctionnalité avant la fin des consultations.
Un haut responsable gouvernemental a par ailleurs déclaré séparément à TechCrunch que le ministère indien des Technologies de l’information était conscient du problème et échangeait avec WhatsApp au sujet de cette fonctionnalité.
Cette intervention a elle-même suscité des critiques de la part de l’Internet Freedom Foundation, une organisation de défense des droits numériques basée à New Delhi. L’IFF a estimé que la notification ne reposait pas sur une base juridique claire et risquait de donner à l’exécutif de larges pouvoirs pour dicter la conception des produits numériques. C’est un dilemme bien connu des opérateurs qui développent des services sur des marchés réglementés : des règles établies au cas par cas, par courrier, sont plus difficiles à anticiper que des règles élaborées de manière ouverte.
« L’usurpation d’identité et la fraude sont de véritables risques, mais on y répond en appliquant le droit pénal contre ceux qui les commettent », a déclaré l’organisation dans un communiqué. « On n’y répond pas en laissant le MeitY décider, en privé et par courrier, des fonctionnalités que les Indiens peuvent utiliser. »
Le débat rappelle une observation similaire formulée par la Haute Cour de Delhi dans une affaire concernant Telegram. La Cour avait alors estimé que l’utilisation de noms d’utilisateur plutôt que de numéros de téléphone pouvait faciliter la dissimulation de l’identité des utilisateurs et accélérer la diffusion de contenus illicites. Cette affaire ne concernait pas WhatsApp, mais le parallèle refait surface dans le débat public alors que WhatsApp prépare son propre lancement.
Confidentialité, confiance et pouvoir des plateformes
Rachel Tobac, directrice générale de SocialProof Security, considère les noms d’utilisateur comme un gain net pour la confidentialité, car ils réduisent la nécessité de partager son numéro de téléphone. Or, la divulgation d’un numéro peut exposer les utilisateurs à des attaques par échange de carte SIM, au phishing et à des prises de contrôle de comptes. Elle reconnaît toutefois que les noms d’utilisateur ressemblants créent toujours des opportunités d’usurpation d’identité.
« En fin de compte, les noms d’utilisateur sont une excellente idée pour éviter de révéler votre numéro de téléphone à des personnes que vous ne connaissez pas, mais il est également important de vérifier l’identité avec cette fonction de nom d’utilisateur », a déclaré Rachel Tobac à TechCrunch.
Son conseil pour la plupart des utilisateurs : choisir un nom d’utilisateur qui ne soit pas facile à deviner, afin de rendre plus difficile le fait pour des attaquants de vous trouver, de vous envoyer des messages non sollicités, de vous harceler ou de vous spammer.
Même WhatsApp reconnaît que les noms d’utilisateur ne conviendront pas de la même manière à tous les utilisateurs. Dans une foire aux questions publiée mercredi sur X, l’entreprise a indiqué que la plupart des utilisateurs devraient choisir un nom d’utilisateur propre à WhatsApp. Toutefois, elle permet aussi aux utilisateurs de revendiquer leurs noms d’utilisateur existants sur Instagram ou Facebook en liant leurs comptes. Selon WhatsApp, cette option vise à aider les créateurs, les entreprises et les organisations à conserver une identité cohérente sur les plateformes de Meta, tout en réduisant les risques d’usurpation.
La Mozilla Foundation a déclaré que l’introduction des noms d’utilisateur entraînera probablement de nouveaux compromis. « L’augmentation des arnaques et de l’usurpation d’identité à partir de faux identifiants en est potentiellement un important », a-t-elle indiqué à TechCrunch. « La vérification d’un numéro de téléphone peut être un outil utile, mais ces préjudices sont également rendus possibles par les choix fondamentaux de conception de la plateforme. »
Mozilla a également soulevé une question plus large liée à l’interopérabilité, un point important pour ceux qui développent des services au-dessus de l’écosystème de Meta ou qui lui font concurrence. Permettre aux utilisateurs de revendiquer leurs noms d’utilisateur Facebook et Instagram existants peut certes réduire l’usurpation d’identité, mais cela montre aussi à quel point Meta peut facilement relier les identités entre ses propres applications. Dans le même temps, les utilisateurs ne peuvent toujours pas emporter cette identité, ni leurs contacts, vers une plateforme concurrente.
Pour l’instant, WhatsApp affirme adopter une approche progressive dans le déploiement de cette fonctionnalité. « Nous prenons notre temps et écoutons les retours afin de bien faire les choses lorsque la fonctionnalité sera déployée plus tard cette année », a déclaré l’entreprise dans sa FAQ.
En savoir plus sur Gnatepe
Subscribe to get the latest posts sent to your email.