WhatsApp : les mots de passe arrivent enfin pour renforcer la sécurité des conversations

WhatsApp s’apprête à révolutionner sa sécurité en ajoutant enfin la possibilité de créer un mot de passe traditionnel. Cette mesure, détectée dans la version bêta 2.26.7.8 pour Android, vient renforcer un système d’authentification qui reposait jusqu’ici uniquement sur les codes OTP envoyés par SMS.

Depuis son lancement il y a plus de quinze ans, WhatsApp n’a jamais exigé de ses utilisateurs la création d’un mot de passe alphanumérique. Un choix qui peut paraître étonnant à l’heure où la sécurité numérique devient cruciale. L’application s’est contentée d’un système d’authentification par code unique (OTP) reçu par message, complété en 2016 par une option de vérification en deux étapes avec un PIN à 6 chiffres.

Les failles du système actuel enfin comblées

Cette évolution intervient alors que les attaques par échange de carte SIM (SIM swapping) se sont multipliées ces derniers mois. Selon les données de WABetaInfo, qui a découvert cette fonctionnalité, le principe est simple : un pirate intercepte les codes OTP en prenant le contrôle du numéro de téléphone de la victime. Avec le seul numéro et le code reçu, l’accès au compte WhatsApp devient d’une facilité déconcertante.

Le nouveau système proposera un mot de passe de 6 à 20 caractères, comprenant obligatoirement au moins une lettre et un chiffre. Cette couche de sécurité supplémentaire s’ajoutera aux mesures existantes sans les remplacer. Les utilisateurs qui l’activeront devront donc franchir trois barrières : le code OTP, le PIN à 6 chiffres (s’il est configuré), et désormais ce mot de passe alphanumérique.

Attention cependant, cette fonctionnalité demeurera entièrement optionnelle. Meta ne souhaite visiblement pas brusquer ses 2,78 milliards d’utilisateurs actifs avec une contrainte supplémentaire. On peut protéger efficacement son compte sans attendre cette mise à jour.

Un rattrapage face à la concurrence

Cette nouveauté place WhatsApp dans la lignée de ses concurrents directs. Telegram exige depuis 2013 un mot de passe pour ses « chats secrets », tandis que Signal impose une authentification renforcée depuis 2020. Même les applications bancaires européennes appliquent des standards de sécurité plus stricts que l’actuel système WhatsApp.

D’un point de vue technique, l’implémentation semble suivre les recommandations du NIST (National Institute of Standards and Technology). Les 20 caractères maximum permettent de créer des mots de passe robustes face aux attaques par force brute, tout en restant mémorisables pour l’utilisateur moyen. Une approche pragmatique qui évite les écueils des mots de passe trop complexes, souvent contournés par des pratiques peu sécurisées.

Le timing de cette annonce n’est pas anodin. Meta fait face à une pression réglementaire croissante, notamment en Europe avec le Digital Services Act. L’ajout de cette couche de sécurité pourrait aussi répondre aux exigences de certains marchés professionnels, où WhatsApp Business peine encore à s’imposer face à Microsoft Teams ou Slack.

Vers un déploiement progressif mais sans date

La fonctionnalité sera d’abord testée auprès des utilisateurs de la version bêta, selon la méthode habituelle de Meta. Aucune date de déploiement grand public n’a été communiquée, mais l’historique des mises à jour WhatsApp suggère un délai de 2 à 4 mois entre la phase bêta et la disponibilité générale.

Pour les utilisateurs souhaitant renforcer dès maintenant leur sécurité, plusieurs solutions existent : activation de la vérification en deux étapes, verrouillage des conversations sensibles, ou encore configuration des paramètres de confidentialité avancés. Ces mesures restent particulièrement importantes pour contrer les tentatives d’hameçonnage qui ciblent régulièrement les comptes WhatsApp.

L’ajout d’un mot de passe traditionnel constitue un pas en avant significatif, même tardif. Il reste néanmoins à voir si cette mesure suffira à rassurer les utilisateurs les plus soucieux de leur vie privée, ou si elle ne fait que rattraper un retard déjà considérable sur les standards actuels de sécurité numérique.

