Cybersécurité Sécuriser les communications La messagerie instantanée et le chiffrement de bout en bout

II.

La messagerie instantanée et le chiffrement de bout en bout

Malheureusement, des algorithmes de chiffrements très fragiles (page en anglais), loin d’être sécurisés, sont toujours permis par les normes des réseaux mobiles. Par exemple, des attaquants peuvent assez facilement casser le chiffrement des communications par SMS et lire le contenu de vos messages. Sur les réseaux mobiles, le trafic est généralement seulement chiffré de votre téléphone à la station de base. Le chiffrement y est déchiffré et les messages sont ensuite transmis en texte en clair.

Deux téléphones envoyant des messages par l’intermédiaire d’un tunnel sécurisé de bout en bout
Deux téléphones envoyant des messages par l’intermédiaire d’un tunnel sécurisé de bout en bout

De plus en plus d’applications utilisent désormais le chiffrement de bout en bout : dès que le trafic est chiffré sur votre ordinateur (ou votre téléphone), l’information transite de façon chiffrée jusqu’au destinataire qui déchiffre le message. Si le chiffrement est mis en place de façon sécurisée, aucun tiers ne peut déchiffrer le message sans la clé qui est uniquement présente sur l’ordinateur du destinataire. La seule façon pour l’attaquant(e) de déchiffrer un message est de s’introduire dans votre appareil ou dans l’ordinateur du destinataire afin de surveiller la communication. Songez un instant aux exemples de chiffrement de la partie précédente. Si le chiffre est sécurisé et si la clé est gardée secrète, seul le destinataire peut déchiffrer les messages.

Quelques exemples d’applications de communication employant le chiffrement de bout en bout :

  • Signal

  • Telegram

  • WhatsApp

  • Facebook Messenger

Parmi ces applications, Signal utilise des implémentations open source. Cela signifie qu’elles sont ouvertes et consultables par quiconque le souhaite (au contraire de la sécurité par l’obscurité). On considère généralement que les algorithmes de l’application Signal sont sécurisés. Ils ont été énormément étudiés. Les implémentations open source vérifiées ont un avantage net : une fois que l’on a prouvé qu’elles étaient sécurisées, d’autres peuvent ensuite s’en servir. Le protocole de Signal, par exemple, est également utilisé par l’application WhatsApp.

Note

Sur WhatsApp, les nouveaux membres ajoutés aux groupes existants ne bénéficient pas de la sécurité de bout en bout. Ceci est dû à la façon dont les groupes sont utilisés. Il est possible pour un(e) attaquant(e) qui a accès aux serveurs de les forcer.

Beaucoup estiment que Telegram ne respecte pas la première règle de la cryptographie (ne pas mettre en place son propre système cryptographique), car ses fondateurs ont créé leur propre protocole. De nombreuses critiques ont été formulées à l’égard de ce protocole et certains chercheurs estiment qu’il est cassé. Des vulnérabilités ont d’ailleurs déjà été montrées du doigt. Celles-ci ont été corrigées, mais il n’en reste pas moins que certains pensent toujours qu’il vaut mieux éviter de se fier au caractère confidentiel de l’implémentation cryptographique de Telegram. À l’heure actuelle, l’implémentation cryptographique de Telegram n’a cependant pas de vulnérabilité connue.

Facebook Messenger comporte une fonction « conversation secrète » qui est chiffrée de bout en bout. C’est toutefois une option et pas un réglage par défaut. Les groupes de dialogue en ligne ne sont pas chiffrés de bout en bout. Ils ne peuvent donc pas être considérés comme sécurisés.

Si la confidentialité est pour vous une priorité sur les applications de messagerie, Signal et WhatsApp (malgré quelques réserves pour cette dernière) semblent être les choix les plus sécurisés. N’utilisez pas de SMS pour vos communications confidentielles.

Note

Pourquoi mes messages doivent-ils être sécurisés ?

Vous vous demandez peut-être pourquoi s’embêter à protéger ses communications quand on ne fait rien d’illégal. Songez un instant au contenu de vos communications. La plupart des informations que vous échangez ne sont peut-être pas confidentielles, mais certains fragments, une fois agrégés, peuvent fournir à un(e) attaquant(e) assez d’indications pour usurper votre identité ou hacker vos comptes en ligne.

Quelques exemples de données que vous exposez peut-être :

  • données bancaires

  • numéros de carte bancaire

  • combinaisons d’adresses électroniques et de mots de passe

  • numéros de sécurité sociale

  • adresses

  • numéros de téléphone

  • réponses aux questions de sécurité grâce auxquelles vous avez protégé vos comptes en ligne

  • cookies à partir desquels un(e) attaquant(e) serait susceptible de hacker votre session et d’accéder à votre compte

La liste ci-dessus contient des éléments que vous créez par vous-même. Mais songez également à toutes les informations recueillies par vos appareils : coordonnées GPS, données d’usage de vos applications, périodes d’activité, données de santé, comme votre fréquence cardiaque, etc. À partir de ces fragments d’information, les attaquants peuvent établir une image assez détaillée de votre vie quotidienne : votre domicile, les lieux où vous vous rendez régulièrement, les personnes que vous rencontrez, votre lieu de travail, vos possibles pathologies...

On sait que certains pays surveillent les communications de leurs citoyens en vue de contrôler les flux d’information et d’espionner les dissidents politiques. Dans certains de ces pays, le chiffrement de bout en bout est même parfois interdit par les gouvernements qui exigent que des portes dérobées et des points faibles soient intégrés aux technologies pour casser le chiffrement et passer outre la confidentialité des messages. Afin de déterminer si cela représente un facteur de risque pour vous, consultez les lois du pays où vous vous trouvez et des pays des destinataires et émetteurs de vos messages.

Note

Ce qu’il faut faire et ce qu’il ne faut pas faire en matière de sécurité :

Ce qu’il faut faire :

  • Vérifiez que vous utilisez des connexions chiffrées. Assurez-vous, par exemple, qu’une icône de cadenas apparaît bien dans la barre de votre navigateur.

  • Réfléchissez à deux fois avant de vous servir de votre carte bancaire : pouvez-vous vraiment vous fier aux sites sur lesquels vous effectuez des transactions ?

  • Prenez garde aux données que vos applications exposent.

Ce qu’il ne faut pas faire :

  • N’utilisez pas de questions de sécurité. Leurs réponses sont faciles à deviner.

  • Ne laissez aucune application vous surveiller à votre insu. Désactivez le partage de données quand l’application vous le permet.

  • N’incluez pas d’informations ou de données personnelles confidentielles dans les SMS, car ces messages ne sont pas sécurisés.

Next section
III. Les différents types d’attaques en ligne

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Ce cours a été créé avec le projet Digital SkillUp, nom sous lequel sont désignées les productions conçues dans le cadre du projet European Digital Academy financé par la Commission européenne et soutenu par le Parlement européen. Le projet consiste à rendre disponibles et accessibles des connaissances de base sur les nouvelles technologies à tous les citoyens et toutes les PME d’Europe. Il vise à créer un espace de formation en ligne offrant à tous des ressources et des offres d’apprentissage sur des sujets comme l’IA, les chaînes de blocs (ou blockchain), la robotique, la cybersécurité et l’IdO.

Ce projet est financé par l’Union européenne. Le contenu reflète uniquement les points de vue de ses auteurs. Il ne reflète pas nécessairement l’opinion de la Commission qui décline toute responsabilité de l’usage qui pourrait être fait des informations s’y trouvant.