Site icon Tech-Connect

Vos messages WhatsApp « supprimés » ne le sont jamais vraiment : voici comment la police les retrouve en moins de 10 minutes

Vos messages WhatsApp supprimés ne le sont jamais vraiment voici comment la police les retrouve en moins de 10 minutes

« Effacé » ne veut pas dire « disparu »

Vous avez sûrement fait ce geste des centaines de fois : appuyer longuement sur un message WhatsApp gênant, sélectionner « Supprimer », et voir la bulle de texte s’évanouir de l’écran. Instinctivement, on se dit que c’est terminé. Que le message n’existe plus. Que personne, jamais, ne pourra le retrouver.

C’est faux. Et c’est faux d’une manière qui a des conséquences très concrètes pour des milliers de personnes chaque année, dans des affaires de divorce, de litiges commerciaux, ou d’enquêtes pénales.

La bonne nouvelle, si on peut dire, c’est que la justice ne pirate pas les serveurs de Meta (la maison mère de WhatsApp) pour récupérer vos conversations. D’ailleurs, elle ne le pourrait techniquement pas, pour une raison simple : Meta ne stocke pas le contenu de vos messages sur ses serveurs, précisément grâce au chiffrement de bout en bout. Ce que la justice fait, en réalité, est bien plus terre-à-terre et bien plus redoutable : elle va chercher directement dans la mémoire physique de votre téléphone. C’est ce qu’on appelle la criminalistique numérique, ou forensics mobile.

Décortiquons ensemble comment ça fonctionne, étape par étape, pour comprendre pourquoi vos vieux messages « effacés » sont probablement encore là, quelque part, tapis dans les entrailles de votre smartphone.

Le point de départ : pourquoi Meta ne peut pas simplement « donner » vos messages

Le chiffrement de bout en bout, une vraie barrière technique

Depuis 2016, WhatsApp chiffre l’intégralité des messages échangés sur sa plateforme avec un protocole appelé chiffrement de bout en bout (end-to-end encryption, ou E2EE). Concrètement, cela signifie que votre message est chiffré (transformé en un charabia illisible) sur votre téléphone avant même d’être envoyé, et il ne redevient lisible qu’une fois arrivé sur le téléphone du destinataire. Entre les deux, le message transite par les serveurs de Meta, mais sous une forme totalement inintelligible même pour Meta elle-même.

C’est la raison technique fondamentale pour laquelle une réquisition judiciaire adressée directement à Meta pour obtenir le contenu de vos conversations WhatsApp reste, dans l’immense majorité des cas, infructueuse : Meta n’a tout simplement pas accès à ce contenu. L’entreprise peut, en revanche, transmettre des métadonnées qui a parlé à qui, à quelle heure, depuis quel appareil mais pas le texte des messages eux-mêmes.

C’est là que les enquêteurs changent de stratégie

Face à cette impossibilité de récupérer le contenu « à la source », côté serveur, les enquêteurs se tournent naturellement vers l’autre extrémité de la chaîne : l’appareil lui-même, là où le message existe forcément en clair, puisque c’est là qu’il a été rédigé ou lu.

C’est précisément le terrain de jeu de la criminalistique numérique.

Étape 1 : mettre la main sur le téléphone et en extraire le contenu

L’accès physique : casser le verrou sans casser l’appareil

Avant de pouvoir analyser quoi que ce soit, encore faut-il pouvoir accéder au contenu d’un téléphone verrouillé par un code PIN, un schéma, une empreinte digitale ou une reconnaissance faciale. C’est là qu’interviennent des outils spécialisés de police scientifique, dont le plus connu s’appelle Cellebrite.

Cellebrite est une entreprise israélienne fondée en 1999, aujourd’hui détenue par le groupe japonais Sun Corporation. Son produit phare, l’UFED (Universal Forensic Extraction Device), est un boîtier ou un logiciel capable de contourner ou casser le verrouillage de la plupart des smartphones du marché, en exploitant des failles de sécurité identifiées dans les systèmes d’exploitation Android et iOS. L’entreprise s’est fait connaître mondialement en 2016, lorsqu’elle avait aidé le FBI américain à débloquer l’iPhone de l’un des auteurs de l’attentat de San Bernardino, après un bras de fer très médiatisé entre le FBI et Apple, qui refusait de créer une porte dérobée pour ses propres appareils.

Un concurrent suédois, MSAB, propose des outils similaires, notamment XRY. Ensemble, ces deux entreprises équipent des dizaines de milliers de services de police, de gendarmerie, de douane et de renseignement dans plus de 150 pays.

Le déploiement massif en France

Ce qui était autrefois un outil réservé à des unités hyperspécialisées s’est largement démocratisé ces dernières années. En France, jusqu’en 2020, seuls 35 dispositifs UFED existaient sur l’ensemble du territoire, réservés à des services d’investigation numérique dédiés. Un transfert vers ces services spécialisés pouvait prendre trois à quatre semaines.

Depuis, l’État français a passé commande de plusieurs centaines de « kiosques » Cellebrite, des ordinateurs compacts sur lesquels il suffit de brancher un téléphone saisi pour en extraire l’intégralité du contenu en moins de dix minutes. Ces kiosques équipent aujourd’hui la police nationale, la gendarmerie, les douanes et l’administration pénitentiaire, rendant le processus d’exploitation des téléphones beaucoup plus rapide et beaucoup plus accessible à n’importe quel officier de police judiciaire, plus besoin d’attendre un service spécialisé.

Extraction physique ou extraction logique : deux méthodes complémentaires

Une fois l’accès au téléphone obtenu, les enquêteurs choisissent, selon les besoins de l’enquête et les capacités techniques disponibles, entre deux grandes approches :

Étape 2 : comprendre pourquoi un message « effacé » reste physiquement présent

C’est le cœur technique de cet article, et c’est aussi le point le plus contre-intuitif pour la plupart des utilisateurs. Il mérite une explication détaillée.

WhatsApp stocke vos conversations dans une base de données locale

Sur votre téléphone, qu’il soit Android ou iOS, WhatsApp ne se contente pas d’afficher vos messages à l’écran de manière éphémère. L’application enregistre l’intégralité de votre historique de discussions dans un fichier local appelé base de données SQLite (parfois abrégée « base SQL »). C’est un format de stockage structuré, très répandu dans le développement d’applications mobiles, qui organise vos messages, contacts, horodatages et pièces jointes sous forme de tables consultables.

Sur Android, ce fichier se trouve typiquement dans un répertoire tel que /Android/data/com.whatsapp/databases/msgstore.db. Sur iOS, l’architecture est différente mais le principe reste le même : une base de données locale, chiffrée à des degrés divers selon les versions, mais physiquement présente sur l’appareil.

Ce qui se passe réellement quand vous appuyez sur « Supprimer »

Voici l’information qui change tout : quand vous supprimez un message dans WhatsApp, le système ne l’efface pas physiquement de la mémoire de votre téléphone. Il se contente de marquer l’espace qu’il occupait comme « libre », c’est-à-dire disponible pour être réutilisé par une future donnée.

C’est exactement le même principe que lorsque vous « videz la corbeille » sur un ordinateur, ou que vous formatez rapidement une clé USB : les données ne sont pas immédiatement détruites, elles deviennent simplement invisibles pour l’utilisateur normal, en attendant d’être écrasées par de nouvelles informations qui viendront occuper cet espace mémoire au fil du temps.

Concrètement, cela signifie qu’un message que vous avez supprimé peut rester récupérable pendant des jours, des semaines, voire des mois, tant que votre téléphone n’a pas eu besoin de réutiliser précisément cet emplacement mémoire pour autre chose. Sur un téléphone récent avec beaucoup d’espace de stockage libre et peu utilisé intensivement, ces données « fantômes » peuvent survivre étonnamment longtemps.

C’est exactement ce que les outils comme Cellebrite exploitent lors d’une extraction physique : en lisant l’intégralité brute de la mémoire, bit par bit, plutôt que de se contenter de ce que le système d’exploitation affiche comme « existant », ils peuvent reconstituer des fragments de messages officiellement supprimés, tant qu’ils n’ont pas encore été écrasés.

Les fichiers journaux et les caches : des traces qui traînent ailleurs

Au-delà de la base de données principale, les systèmes d’exploitation et les applications génèrent en permanence des fichiers journaux (logs) et des fichiers temporaires (caches), des traces techniques destinées, à l’origine, au débogage ou à l’optimisation des performances. Ces fichiers peuvent, sans que l’utilisateur en ait la moindre conscience, contenir des fragments de contenu, des notifications, des aperçus de messages, ou des métadonnées d’échange, même après la suppression du message d’origine dans l’application elle-même.

Les experts en criminalistique numérique savent précisément où chercher ces traces résiduelles, un savoir-faire qui constitue l’essentiel de leur expertise technique.

Étape 3 : les sauvegardes dans le cloud, un autre point d’accès

Le piège des sauvegardes automatiques

De nombreux utilisateurs activent, souvent sans y prêter attention lors de la configuration initiale de l’application, une fonctionnalité de sauvegarde automatique de leurs conversations WhatsApp vers un service de stockage cloud : Google Drive pour les utilisateurs Android, iCloud pour les utilisateurs iOS.

Le piège est le suivant : si vous supprimez un message directement dans l’application WhatsApp, mais qu’une sauvegarde antérieure, réalisée avant cette suppression, existe encore sur Google Drive ou iCloud, cette sauvegarde conserve la conversation dans son état d’origine, message litigieux inclus. Le fait de supprimer un message localement n’efface absolument pas les sauvegardes cloud déjà réalisées.

Comment la justice accède à ces sauvegardes

Contrairement au contenu chiffré de bout en bout qui transite par les serveurs de Meta, les sauvegardes stockées sur Google Drive ou iCloud échappent, dans une certaine mesure, à ce chiffrement spécifique à WhatsApp (bien qu’elles bénéficient d’un chiffrement propre à Google ou Apple). Dans ce cas, les autorités judiciaires peuvent obtenir une ordonnance judiciaire ou une réquisition adressée directement à Google ou Apple pour accéder au contenu de ces sauvegardes, dans le cadre légal approprié.

C’est un point de vulnérabilité que beaucoup d’utilisateurs ignorent complètement : désactiver la sauvegarde cloud de WhatsApp, ou supprimer les sauvegardes existantes après avoir effacé un message localement, est une étape que très peu de personnes pensent à effectuer.

Étape 4 : le recoupement, quand la source originale a vraiment disparu

Il arrive que les trois premières méthodes échouent réellement parce que le téléphone a été réinitialisé aux paramètres d’usine, remplacé, ou parce que suffisamment de temps s’est écoulé pour que les données supprimées aient été écrasées par de nouvelles informations. Dans ce cas, les enquêteurs disposent encore de leviers, moins techniques mais tout aussi efficaces.

Les appareils synchronisés : WhatsApp Desktop, la faille souvent oubliée

WhatsApp propose une version bureau (WhatsApp Desktop ou WhatsApp Web) qui synchronise l’historique de vos conversations avec votre ordinateur. Si vous supprimez un message uniquement sur votre téléphone, sans avoir pensé à effectuer la même opération sur l’ordinateur lié, la conversation peut rester intacte sur cet appareil secondaire souvent oublié par l’utilisateur au moment de « faire le ménage » dans ses conversations.

Si les enquêteurs ont accès à cet ordinateur, dans le cadre d’une perquisition par exemple, ils peuvent y retrouver un historique que le téléphone principal ne contient plus.

Le téléphone du destinataire : la solution la plus simple, et la plus redoutable

Voici sans doute la méthode la plus évidente, et paradoxalement la plus souvent négligée par les personnes qui pensent avoir « couvert leurs traces » : une conversation implique toujours au moins deux personnes. Si vous supprimez un message de votre côté, votre interlocuteur, lui, peut très bien ne pas l’avoir fait. Sa copie de la conversation reste alors parfaitement intacte sur son propre téléphone.

Dans de nombreuses affaires, judiciaires comme civiles (divorces, litiges du travail), c’est précisément cette méthode qui permet de reconstituer des échanges que l’une des parties croyait avoir définitivement effacés.

Ce que Cellebrite peut extraire et ce que ça implique vraiment

Pour donner une idée concrète de la puissance de ces outils, il est utile de savoir tout ce qu’un kiosque Cellebrite peut extraire d’un smartphone en quelques minutes seulement : photos, vidéos, emails, historique de navigation Internet, données de géolocalisation, historiques de mots de passe, carnet d’adresses, notes personnelles, et bien sûr les messages des applications de messagerie y compris, selon les versions et les vulnérabilités exploitées à un instant donné, certains contenus d’applications réputées particulièrement sécurisées comme Signal ou Telegram.

Plus de 17 000 modèles différents de téléphones, tablettes et appareils GPS peuvent être compromis par ces technologies, y compris, selon les déclarations mêmes de Cellebrite, les modèles les plus récents d’iPhone.

Cette capacité technique considérable a naturellement suscité des inquiétudes de la part des associations de défense des libertés numériques, comme La Quadrature du Net, qui alertent sur le risque d’un usage disproportionné de ces outils, par exemple lors de gardes à vue pour des motifs mineurs, utilisées comme prétexte pour accéder aux messages et contacts d’une personne, dans une logique d’investigation plus large que celle strictement justifiée par les faits reprochés initialement.

Comment se protéger, dans les limites de ce qui est légalement possible

Il est important de le préciser d’emblée : ces conseils n’ont pas vocation à aider quiconque à échapper à une enquête judiciaire légitime, ce qui serait à la fois illégal et contraire à l’esprit de cet article. Ils concernent la protection légitime de la vie privée dans un contexte non judiciaire (perte ou vol de téléphone, protection contre des tiers malveillants).

Désactiver les sauvegardes cloud automatiques

Si vous ne souhaitez pas que vos conversations persistent au-delà de leur suppression dans l’application, désactivez la sauvegarde automatique vers Google Drive ou iCloud dans les paramètres de WhatsApp (Discussions > Sauvegarde des discussions), et supprimez manuellement les sauvegardes existantes.

Activer les messages éphémères

WhatsApp propose une fonctionnalité de messages éphémères, qui suppriment automatiquement les messages après une durée définie (24 heures, 7 jours ou 90 jours). Attention toutefois : cette fonctionnalité réduit le risque de rétention dans les sauvegardes, mais ne garantit en rien contre une extraction physique effectuée avant l’expiration du délai, ni contre la conservation du message par votre interlocuteur.

Le chiffrement complet du téléphone

Activer le chiffrement intégral du stockage de votre téléphone (généralement activé par défaut sur les appareils récents Android et iOS) rend théoriquement plus complexe, quoique pas impossible pour des outils sophistiqués comme les dernières versions de Cellebrite, l’extraction de données sans le code de déverrouillage.

La prudence reste le meilleur rempart

En définitive, la leçon la plus honnête à tirer de cette exploration technique est probablement la plus simple : aucune méthode de suppression n’offre une garantie absolue. La meilleure protection reste, avant tout, de ne pas écrire ce que l’on ne souhaiterait jamais voir ressurgir un jour.

Entre efficacité judiciaire et vie privée, où placer le curseur ?

D’un côté, ces technologies d’extraction forensique rendent des services indéniables à la justice. Elles ont permis de résoudre des enquêtes criminelles graves (meurtres, trafics, réseaux de pédocriminalité) où les preuves numériques se sont révélées décisives. Sans ces outils, de nombreux coupables auraient probablement échappé à toute responsabilité pénale, faute de preuves matérielles suffisantes.

De l’autre côté, la démocratisation massive de ces outils, passer de 35 dispositifs réservés à des unités spécialisées à plusieurs centaines de kiosques accessibles à n’importe quel commissariat, change fondamentalement l’équilibre entre l’efficacité de l’enquête et la protection de la vie privée des citoyens. Un outil initialement conçu pour des enquêtes graves et complexes devient un instrument potentiellement mobilisable dans des situations beaucoup plus banales, avec un contrôle judiciaire qui, dans les faits, peine parfois à suivre la rapidité d’exécution technique.

La question que je trouve la plus pertinente à poser n’est pas tant « la police devrait-elle avoir accès à ces technologies ? », la réponse, encadrée légalement, est raisonnablement oui pour des enquêtes légitimes. La vraie question est : le cadre procédural et le contrôle judiciaire évoluent-ils au même rythme que la puissance technique de ces outils ?

Parce qu’à l’heure actuelle, l’extraction complète du contenu d’un smartphone : photos, messages, géolocalisation, historique de navigation, contacts, prend moins de dix minutes. Le contrôle juridictionnel qui l’encadre, lui, reste construit sur des logiques procédurales pensées à une époque où fouiller une vie entière prenait bien plus de temps, et impliquait des actes bien plus visibles et proportionnés. Cet écart mérite, je crois, une attention politique et juridique bien plus soutenue qu’elle n’en reçoit actuellement.

Étiez-vous conscient que vos messages WhatsApp supposément supprimés pouvaient rester récupérables aussi longtemps ? Pensez-vous que le déploiement massif de ces outils d’extraction dans les commissariats relève d’une nécessité légitime pour la sécurité publique, ou d’une dérive préoccupante pour la vie privée ?

Partagez votre point de vue dans les commentaires.

Quitter la version mobile