Comment choisir une messagerie sécurisée ?

CloudCollaborationLogicielsSécurité

Pour choisir une messagerie instantanée, il convient à chaque utilisateur d’étudier l’application qui correspond à ses attentes de sécurité.

Whatsapp, Messenger, Skype, Telegram, etc : autant d’applications que de modèles et protocoles de sécurité différents sont utilisés au quotidien par des milliards d’individus.

Pour choisir une messagerie instantanée, il convient à chaque utilisateur d’étudier l’application qui correspond à ses attentes de sécurité. Et il y a des questions impactantes auxquelles on ne pense pas forcément.

Des garanties de sécurités différentes

En matière de protection de la vie privée, il est très usuel d’entendre « je n’ai rien à cacher ».

De toute évidence, cette logique conduit à considérer le problème individuellement alors qu’il faut raisonner selon l’objectif de l’attaquant.

En effet, dans le cadre d’une attaque, la personne concernée n’est pas toujours la cible principale. L’attaquant peut très bien vouloir infiltrer son réseau relationnel par exemple. C’est un comportement régulièrement observé lors des campagnes de spam massives pour influencer des votes ou commettre des escroqueries.

Pour préserver la confidentialité de ses communications, il est important de considérer les exigences de sécurité qui diffèrent selon les applications disponibles sur le marché.

Certains utilisateurs sont plus soucieux de leur vie privée ou sont contraints par la nature de leur activité professionnelle à un niveau de sécurité plus élevé (journalistes, avocats, dissidents dans certains pays). Pour échapper aux yeux indiscrets, chacun peut (voire doit) vérifier les garanties en matière de protection des données privées d’une application et surtout accepter qu’aucune d’entre elles ne puisse être complètement sécurisée.

L’utilisation d’un téléphone est, par définition, soumise à de possibles attaques malveillantes.

La cryptographie : la garantie de confidentialité des communications passées

La cryptographie désigne l’ensemble des techniques apportant des propriétés de sécurité comme la confidentialité (le fait qu’un tiers ne puisse lire un message), l’authentification (être sûr qu’on s’adresse au bon interlocuteur), ou l’intégrité (un message n’a pas été modifié).

Parmi ces propriétés, la forward secrecy  [1] protège les conversations passées et apparaît comme une caractéristique essentielle de ces messageries. Grâce à cette propriété, un attaquant qui parviendrait à intercepter et déchiffrer le contenu d’une communication ne pourrait pas accéder aux messages précédemment enregistrés.

Cela soulève d’ailleurs la question de savoir ce qu’il advient de l’historique des conversations et des messages reçus. Ces derniers disparaissent-ils ? L’historique est-il conservé ou archivé ? Sur le téléphone ou chez l’éditeur de l’application ? Si tel est le cas, est-il archivé dans les serveurs de l’opérateur et est-il chiffré ? Quelles personnes ont l’autorisation d’y accéder ?

Pour savoir ce qu’il en est, il suffit de regarder comment se comporte votre application préférée : si vous retrouvez tous vos messages en changeant de téléphone ou en réinstallant l’application, c’est qu’ils sont archivés chez l’éditeur. 

L’authentification : un aspect à ne pas négliger

De nombreuses applications enregistrent le numéro de téléphone comme identifiant.

Lorsque c’est le cas, il est souvent simple de dresser une liste des utilisateurs par pays à partir du code international. Et parfois, c’est même l’application qui aide : iMessage d’Apple change la couleur du numéro selon qu’il utilise iMessage (bleu) ou non (vert).
Les numéros associés à une messagerie intéressent des attaquants, par exemple pour des campagnes de spams massives, comme en Inde ou au Brésil lors de la dernière élection présidentielle.

Mais c’est également une mine d’or pour des gouvernements non démocratiques qui peuvent s’en servir afin d’espionner les usagers.

En Iran en 2016, Telegram a vu plus de 15 millions de ses utilisateurs identifiés et au moins une dizaine de comptes d’opposants piraté. Pour cela, les attaquants ont enregistré un nouveau téléphone dans l’application avec le numéro de l’opposant, et fait envoyer un SMS nécessaire à l’enregistrement du device.
Travaillant conjointement avec les opérateurs étatiques, ils ont pu intercepter le SMS nécessaire à l’enregistrement. Ensuite, l’application ne signale aucunement l’ajout du nouveau téléphone, mais pour autant, tous les messages lui sont aussi envoyés.

Ainsi, les applications qui proposent de voir les sessions actives protègent de ce type d’attaque car les appareils enregistrés sont visibles … à condition d’aller les chercher. Certaines applications envoient des notifications à l’ajout d’un nouveau device.

Plutôt que d’utiliser un numéro de téléphone, des applications proposent une identification grâce à un pseudonyme. Dans ce cas, un attaquant aura plus de difficultés à accéder aux informations personnelles et devra pénétrer le serveur de la messagerie pour remonter jusqu’à l’utilisateur concerné ce qui réduit considérablement les risques d’intrusions externes. 

La sécurité et la confidentialité de ces données ne sont finalement qu’une question sous-jacente. En effet, ces applications ont pour objectif de protéger les informations personnelles et paradoxalement beaucoup d’entre elles ont accès au carnet d’adresses et de nombreuses autres données à caractère sensible.

Mais avons-nous véritablement le choix de sa messagerie ?

Supprimer Messenger ou encore Whatsapp reviendrait à se couper d’amis ou de membres de la famille qui ne souhaitent pas nécessairement changer de réseau. Il est donc du devoir de chacun de plaider pour une plateforme plus sécurisée et respectueuse de la vie privée.

[1]  Confidentialité persistante

Crédit Photo : Ilin Sergey-Shutterstock


Auteur
En savoir plus 
CEO et fondateur
Quarkslab
Fred Raynal est CEO et fondateur de Quarkslab. Diplômé de l'ESIEA (École d’ingénieurs du monde numérique) en 1996, il est également docteur en informatique depuis 2001. Il a également suivi en 2006 la formation spécialisée en IE de l'EGE.
En savoir plus 

Livres blancs A la Une