Messageries chiffrées

Agnès Michaud

Les applications de messagerie chiffrées sont-elles vraiment sûres ?

bug, communication, données personnelles, faille, messagerie

Quelles sont les applications de messagerie chiffrée les plus sûres ? C’est l’une des questions les plus courantes que posent les utilisateurs lorsqu’ils doivent installer une application de messagerie sur leurs appareils mobiles.

La principale caractéristique que nous prenons en compte lorsque nous traitons de la sécurité des apps de messagerie est la mise en œuvre d’une communication chiffrée de bout en bout.


Qu’est-ce qu’une communication par chiffrement de bout en bout (E2EE)

La communication par chiffrement de bout en bout (E2EE) empêche les tiers d’écouter les données pendant leur transfert entre les deux interlocuteurs.

Dans une communication E2EE, les données sont chiffrées sur l’appareil de l’expéditeur et ne peuvent être déchiffrées que sur le système du destinataire.


En quoi une application de messagerie chiffrée est-elle sûre ?

Malheureusement, même si une application met en œuvre un chiffrement de bout en bout, cela ne signifie pas qu’il est activé par défaut.

  • Certaines applications de messagerie exigent que les utilisateurs activent explicitement cette fonction
  • D’autres ne chiffrent les messages que dans des circonstances spécifiques

Un autre facteur important à évaluer lors de l’analyse des applications de messagerie chiffrée est la disponibilité de leur code source pour les audits.

Les applications à code source ouvert permettent aux experts en sécurité de critiquer le code à la recherche de vulnérabilités et de portes dérobées.

Afin de considérer les applications de messagerie chiffrée comme respectueuses de la vie privée et sûres, il est important d’examiner d’autres caractéristiques importantes :

  • la manière dont elles collectent les métadonnées
  • dont elles stockent les sauvegardes des utilisateurs

Les autres fonctionnalités qui pourraient améliorer la sécurité des apps sont :

  • la « détection des captures d’écran »
  • et la « protection contre la superposition d’écran »

Signal : l’application de messagerie la plus sûre ?

L’application de messagerie considérée comme la plus sûre par les défenseurs de la vie privée et les lanceurs d’alerte est, sans aucun doute, Signal.

  • Elle met en œuvre un chiffrement de bout en bout et son code source est ouvert, ce qui permet un audit.
  • L’application permet aux messages de « disparaître » au bout d’un certain temps.
  • Contrairement aux autres applications de messagerie, Signal ne stocke que les métadonnées qu’elle utilise pour fonctionner (c’est-à-dire le numéro de téléphone de l’utilisateur, les clés aléatoires et les informations de profil).

Signal (messagerie confidentielle)

L’application permet également à ses utilisateurs de définir un mot de passe pour ajouter un niveau de protection supplémentaire et de le verrouiller, ce qui signifie que les messages seront toujours protégés si le téléphone est inspecté par des personnes non autorisées.


La Commission européenne a décidé d’adopter Signal pour les communications de son personnel

La liste des applications de messagerie est longue et comprend d’autres applications populaires telles que :

Voir la liste des 10 messageries les plus sécurisées


Les applications de messagerie chiffrée sont-elles à l’abri de la surveillance ?

Permettez-moi de vous rappeler que la sécurité est un concept instantané.

Une application considérée comme sûre aujourd’hui pourrait être piratée en raison de la découverte d’une vulnérabilité de type zero-day dans ses composants.

Nous pouvons supposer qu’une application est sécurisée si les caractéristiques ci-dessus sont mises en œuvre, en dehors de la découverte d’une vulnérabilité dans leur code.


Les principales lacunes en matière de confidentialité et de sécurité des applications de messagerie chiffrée

  • Utilisation de sauvegardes en nuage non chiffrées
  • Manque de transparence du code de l’application qui n’est pas disponible en open source
  • Utilisation d’algorithmes de chiffrement propriétaires
  • Paramétrage facultatif du chiffrement de bout en bout

Certaines applications, comme WhatsApp, stockent des sauvegardes non chiffrées sur Google Drive pour les téléphones Android.

Cela signifie que les forces de l’ordre pourraient obtenir des mandats pour obliger Google à remettre les messages des utilisateurs.

(Voir notre article sur comment pirater Whatsapp)

Dans le cas spécifique de WhatsApp, les utilisateurs peuvent désactiver les sauvegardes de messages sur Google Drive.

D’autres applications, comme Telegram, n’utilisent pas le chiffrement de bout en bout par défaut. Pour l’activer, les utilisateurs doivent activer la fonction Secret Chat.

Telegram : message secret
Telegram : message secret

Il est fortement recommandé d’activer la fonction « Secret Chat » sur Telegram, afin d’éviter que les données de chat ne soient enregistrées sur les serveurs de Telegram.

Un autre problème lié à Telegram est l’utilisation d’un protocole propriétaire baptisé MTProto, qui manque de transparence dans la manière dont il protège les communications.

Dans l’ensemble, si certaines applications de messagerie peuvent être considérées comme à l’épreuve de la surveillance par défaut, d’autres applications doivent être utilisées et configurées correctement.

Il est clair que certaines applications ne sont pas conçues pour assurer la sécurité et le respect de la vie privée et qu’elles peuvent exposer les utilisateurs à des activités de surveillance.


Les applications de messagerie chiffrée sont-elles à l’abri du piratage ?

La réponse courte est non.

Il est toujours possible de découvrir une vulnérabilité dans le code d’une application

C’est pourquoi les applications dont le code est ouvert et qui proposent des programmes de primes aux bugs sont considérées comme plus sûres.

Une application à l’épreuve du piratage est également une application gérée par une organisation qui prend en charge le processus de divulgation des vulnérabilités.

Le virus s'attaque aux données de votre disque dur

Pour avoir une idée des multiples vulnérabilités qui pourraient affecter les applications de messagerie chiffrée, jetez un coup d’œil à la liste des problèmes traités en 2020 dans les logiciels les plus populaires.


Liste des problèmes traités en 2020 parmi les logiciels les plus populaires

En mai 2020, les experts de la société de sécurité Tenable ont découvert une vulnérabilité dans Signal qui aurait pu permettre aux attaquants de suivre la localisation d’un utilisateur.
En octobre 2019, Natalie Silvanovich, hacker white-hat du Google Project Zero, a découvert une faille logique dans Signal pour Android qui aurait pu être exploitée par un appelant malveillant pour forcer la prise d’un appel du côté du destinataire sans nécessiter son interaction.

Cela signifie que l’attaquant pouvait espionner le destinataire par le biais du microphone de son appareil.

En revanche, la vulnérabilité de Signal ne peut être exploitée que si le destinataire ne répond pas à un appel audio via Signal, ce qui oblige à répondre automatiquement à l’appel entrant sur l’appareil du destinataire.

Telegram n’est pas non plus à l’abri des problèmes de sécurité

En août 2019, une vulnérabilité dans l’application populaire a exposé les numéros de téléphone des personnes participant à des groupes, même si elles avaient défini le numéro comme « privé ». Le problème a été exploité par les autorités chinoises pour suivre des militants à Hong Kong.

Qu’en est-il de WhatsApp ?

Espionner WhatsappRécemment, la société appartenant à Facebook a corrigé 6 failles de son application qui n’avaient pas été divulguées auparavant et les a publiées sur un nouveau site d’avis de sécurité dédié.

L’une des failles, identifiée sous le nom de CVE-2020-1894, est un débordement d’écriture de pile qui peut permettre l’exécution de code arbitraire lors de la lecture d’un message push to talk spécialement conçu.

A noter :

Certaines applications, installées dans un téléphone, permettent d’espionner toutes les conversations et localisations.

Conclusion

Même si les vulnérabilités susmentionnées ont été corrigées immédiatement après leur découverte, leur présence démontre que tous les logiciels, même les plus sûrs, peuvent être affectés par des failles qui présentent des risques graves pour la vie privée des utilisateurs.

Je vous laisse le choix de l’application que vous préférez. Évidemment, le choix final est aussi influencé par le nombre de vos contacts qui l’utilisent.

Laisser un commentaire