Velen beginnen te beseffen hoe kwetsbaar de informatie is die we elke dag online delen. Ook de grote technologiebedrijven worden wakker. Afgelopen week kondigde WhatsApp, met meer dan een miljard gebruikers een van de populairste communicatieapps van het moment, aan dat er een uniek slot komt op zijn berichten. Op de website van het bedrijf schuwt ceo Jan Koum de ferme taal niet: ‘Wanneer je een bericht verzendt, kan alleen de ontvanger het bericht lezen. Niemand anders kan het bericht lezen. Zelfs cybercriminelen, hackers en overheden kunnen het bericht niet lezen.’ Een dure belofte, maar maakt WhatsApp ze ook echt waar?
‘Versleuteling is maar zo sterk als ze wordt gemaakt’, zegt Rob Heyman. Hij onderzoekt privacy op sociale media bij de onderzoeksgroep SMIT aan de Vrije Universiteit Brussel. ‘Kijk maar naar hoe de FBI erin slaagde om zonder de medewerking van Apple de versleuteling van een iPhone van terroristen te kraken. Toch heeft WhatsApp afgelopen week een stap vooruitgezet richting veiligere onlinecommunicatie. Dat je berichten niet meer te lezen zijn door hackers klopt zeker niet, maar het kost nu wel meer moeite dan voorheen.’ De gerenommeerde encryptiespecialist Bart Preneel (KU Leuven en iMinds) is in elk geval zeer te spreken over de technologie die WhatsApp heeft geïnstalleerd. Toch nuanceert ook hij: ‘Echt perfect veilige encryptie bestaat inderdaad niet. Maar WhatsApp heeft gekozen voor de software van het bedrijf Open Whisper Systems, en die is zeker state of the art. Het is ongeveer de beste encryptie op dit moment. De software is vrij recent en vrij veilig, en biedt onder meer een interne uitveegfunctie. Dit is zowat het beste wat WhatsApp kon doen voor de beveiliging van de data van zijn gebruikers. Ook knap is dat ze voor open source-software hebben gekozen, waardoor we kunnen nagaan hoe het werkt. Zo wil Microsoft helemaal niet zeggen welke encryptie het gemaakt heeft bij zijn communicatieprogramma Skype. En of de beveiligingstechnologie van Apple beter is, weten we niet, want Apple heeft geen open source-oplossing gebruikt.’
‘Het zwakke punt van de beveiliging is nog altijd de smartphone zelf’, zegt professor Preneel. ‘De ontvanger moet het WhatsApp-bericht ook kunnen lezen, en daar aan het uiteinde ligt de zwakke schakel. Als iemand daar kan inbreken, is de encryptie voor niets geweest. Dé hamvraag is hoe de overheid zal reageren op deze zet van WhatsApp. De Amerikaanse geheime dienst NSA kan nog altijd het bedrijf proberen op te leggen om in bepaalde landen de beveiliging te lossen. We weten niet of de NSA dat zal doen, maar het is mogelijk. En als ze uitzonderingen vragen, zullen ze het ons niet vertellen. We moeten dus niet naïef zijn en denken dat niemand onze berichten nog leest. Het is een goede zaak dat de technologiebedrijven zich steeds meer profileren op privacy. Toch zal het debat voortduren. De gebruikers zullen blijven vragen om privacy, en de politie zal blijven klagen dat ze niet mag meelezen als ze dat nodig acht.’ Günes Acar (KU Leuven/COSIC), een expert in de privacy-analyse van apps, ziet nog heel wat beperkingen. Hij benadrukt dat WhatsApp nog altijd veel over de gebruikers weet. ‘Wie stuurt naar wie, en wie praat met wie? Wie zijn je vrienden, met wie bel je het vaakst en hoe lang? Dat weet WhatsApp wel nog allemaal. Meelezen zou niet meer mogen kunnen, want dit slot is niet makkelijk te breken, ook niet voor henzelf. Tenzij je een back-up maakt van je chatgeschiedenis, want dan worden de berichten in leesbare tekst naar een cloudservice gestuurd.’
Conclusie:
Alle experts met wie we contact opnamen, bevestigen dat WhatsApp een grote stap zet in de bescherming van de privacy van zijn gebruikers. Maar omdat geen enkele versleuteling zo perfect kan zijn als Jan Koum beweert, beoordelen we de stelling als grotendeels onwaar.
GROTENDEELS ONWAAR
Thomas Verbeke
‘Niemand kan je WhatsApp-berichten nog lezen’ WhatsApp-ceo JAN KOUM, op de blog van zijn bedrijf.
