Messagerie et confidentialité
Les réservations de noms d'utilisateur WhatsApp suscitent des craintes d'usurpation d'identité alors que les régulateurs indiens réagissent
Les réservations de noms d'utilisateur WhatsApp permettent aux utilisateurs d'interagir par pseudo plutôt que par numéro de téléphone, mais les premiers tests ont révélé que des pseudos ressemblant à des personnalités éminentes étaient encore disponibles. Le ministère indien des Technologies de l'information a averti que cette fonctionnalité pourrait augmenter la fraude et l'usurpation d'identité, tandis que les groupes de défense des droits numériques ont critiqué l'intervention réglementaire.

WhatsApp a commencé cette semaine à déployer les réservations de noms d'utilisateur avant le lancement plus large prévu plus tard cette année. La fonctionnalité, qui permet aux gens de se trouver et de s'envoyer des messages par pseudo plutôt que par numéro de téléphone, soulève déjà des préoccupations d'usurpation d'identité, attirant l'attention des experts en sécurité et des régulateurs en Inde, le plus grand marché de l'application, avec plus de 500 millions d'utilisateurs.
Ce déploiement marque un changement dans la façon dont les gens s'identifient sur WhatsApp. Au lieu de se fier aux numéros de téléphone comme identifiant principal, les utilisateurs interagiront de plus en plus via des noms d'utilisateur gérés par la plateforme, un changement que Meta présente comme une amélioration de la confidentialité, mais que les critiques estiment pouvoir créer de nouvelles opportunités d'usurpation d'identité.
Lors des premiers tests, des noms d'utilisateur ressemblant à des politiciens célèbres, des célébrités, des figures d'affaires et des institutions publiques, notamment "indiamodi", "shahrukh.actor", "teamamitabh", "ambanijio" et "rbi_verify", étaient encore disponibles à la réservation. Ceux-ci font référence au Premier ministre indien Narendra Modi, aux acteurs de Bollywood Shah Rukh Khan et Amitabh Bachchan, à la société de télécommunications de l'homme d'affaires Mukesh Ambani, Jio, et à la Banque de réserve de l'Inde, respectivement. Par ailleurs, le fondateur de Binance, Changpeng Zhao, a déclaré sur X qu'il n'avait pas pu réserver "cz_binance", le pseudo qu'il utilise déjà sur cette plateforme.
Réaction réglementaire en Inde
Les préoccupations ont déjà atteint les régulateurs en Inde, où les stratagèmes de cyberfraude exploitent fréquemment les plateformes de messagerie pour usurper l'identité de la police, des banques et des responsables gouvernementaux. Dans un avis envoyé à WhatsApp mercredi, le ministère de l'Électronique et des Technologies de l'information (MeitY) a déclaré que la fonctionnalité pourrait "augmenter matériellement l'incidence de la fraude en ligne, du hameçonnage, des escroqueries aux arrestations numériques et des attaques d'usurpation d'identité" en permettant aux mauvais acteurs de contacter les utilisateurs sans exposer leurs numéros de téléphone.
Le ministère a également averti que les noms d'utilisateur pourraient faciliter l'usurpation d'identité de "personnes, d'autorités publiques, d'institutions financières et d'organismes gouvernementaux" en permettant des noms d'utilisateur ressemblant étroitement à ceux de personnes ou d'organisations réelles. Il a enjoint à WhatsApp d'expliquer pourquoi une action réglementaire ne devrait pas être engagée en vertu des lois indiennes sur les technologies de l'information et a demandé à l'entreprise de ne pas déployer la fonctionnalité tant que les consultations ne seraient pas terminées. Un haut responsable gouvernemental a confirmé séparément que le ministère indien des Technologies de l'information est en discussion avec WhatsApp au sujet de cette fonctionnalité.
Préoccupations relatives aux droits numériques
Cette intervention a suscité ses propres critiques de la part du groupe de défense des droits numériques basé à New Delhi, Internet Freedom Foundation (IFF), qui a déclaré que l'avis manquait d'une base juridique claire et risquait de donner à l'exécutif des pouvoirs étendus pour dicter la conception des produits. "L'usurpation d'identité et la fraude sont des risques réels, mais ils sont traités en appliquant le droit pénal contre ceux qui les commettent", a déclaré le groupe dans un communiqué. "Ils ne sont pas traités par le MeitY décidant, en privé et par lettre, des fonctionnalités que les Indiens peuvent utiliser."
Ce débat fait écho à une observation similaire formulée par la Haute Cour de Delhi dans une affaire impliquant Telegram, où la cour a déclaré que l'utilisation de noms d'utilisateur au lieu de numéros de téléphone pourrait faciliter la dissimulation de l'identité des utilisateurs et la diffusion plus rapide de contenus illicites. Cette affaire ne concernait pas WhatsApp, mais le parallèle refait surface dans les discussions publiques alors que WhatsApp prépare son propre lancement.
Comment Meta prévoit de prévenir l'usurpation d'identité
Interrogé sur la manière dont il se protège contre l'usurpation d'identité, Meta a déclaré à TechCrunch qu'il réserve les noms d'utilisateur pour les personnalités publiques, les entités gouvernementales et "certaines variations" de ces noms, afin que seul le propriétaire légitime puisse les réclamer. L'entreprise n'a toutefois pas expliqué comment elle décide quels noms d'utilisateur similaires sont réservés de manière proactive et lesquels ne le sont pas.
Dans une FAQ publiée sur X mercredi, WhatsApp a déclaré que la plupart des utilisateurs devraient choisir un nom d'utilisateur unique à WhatsApp. Cependant, il permet également aux utilisateurs de revendiquer leurs noms d'utilisateur Instagram ou Facebook existants en liant leurs comptes, affirmant que cette option vise à aider les créateurs, les entreprises et les organisations à maintenir une identité cohérente sur les plateformes de Meta tout en réduisant l'usurpation d'identité.
Rachel Tobac, directrice générale de SocialProof Security, a qualifié les noms d'utilisateur de gain net pour la confidentialité car ils réduisent la nécessité de partager les numéros de téléphone, ce qui peut exposer les utilisateurs aux attaques par échange de carte SIM, au hameçonnage et aux piratages de comptes. Néanmoins, a-t-elle déclaré, les noms d'utilisateur similaires créent toujours des opportunités d'usurpation d'identité. "En fin de compte, les noms d'utilisateur sont une excellente idée pour éviter de divulguer votre numéro de téléphone à des personnes que vous ne connaissez pas, mais il est également important de vérifier l'identité avec la fonction de nom d'utilisateur", a déclaré Tobac à TechCrunch. Son conseil pour la plupart des utilisateurs : choisissez un nom d'utilisateur qui n'est pas facilement devinable, afin qu'il soit plus difficile pour les attaquants de vous trouver, de vous envoyer un message à froid, ou de vous harceler et de vous spammer.
La Fondation Mozilla a déclaré que l'introduction des noms d'utilisateur entraînera probablement de nouveaux compromis. "L'augmentation des escroqueries et de l'usurpation d'identité via de faux pseudos en est potentiellement un gros", a-t-elle déclaré à TechCrunch. "Vérifier un numéro de téléphone peut être un outil de vérification utile, mais ces préjudices sont également permis par les choix fondamentaux de conception de la plateforme."
Mozilla a également signalé une question d'interopérabilité plus large : bien que permettre aux utilisateurs de revendiquer leurs noms d'utilisateur Facebook et Instagram existants puisse réduire l'usurpation d'identité, cela montre aussi à quel point Meta peut facilement relier l'identité entre ses propres applications, même si les utilisateurs ne peuvent toujours pas emporter cette identité, ou leurs contacts, vers une plateforme concurrente.
Pour l'instant, WhatsApp déclare adopter une approche progressive du déploiement. "Nous prenons notre temps et écoutons les commentaires afin que, lorsqu'il sera déployé plus tard cette année, nous fassions les choses correctement", a déclaré l'entreprise dans sa FAQ.