Cybersécurité 101 : Comment choisir et utiliser une application de messagerie cryptée
Crédits images : Getty Images
La messagerie texte existe depuis l’aube de la technologie cellulaire, et a suscité son propre langage unique. Mais il est temps de mettre au rancart l’envoi de SMS classiques.
Si vous avez un iPhone, vous êtes déjà sur la bonne voie. Les iPhones (ainsi que les iPads et les Macs) utilisent iMessage pour envoyer des messages entre les appareils Apple. C’est un système de messagerie basé sur les données qui s’appuie sur la 3G, la 4G et le Wi-Fi, plutôt que la messagerie SMS, qui utilise un vieux réseau cellulaire 2G dépassé mais universel. iMessage a gagné en popularité, mais a laissé les appareils Android et d’autres ordinateurs à l’écart.
C’est là que d’autres services de messagerie ont comblé un vide sur le marché.
Des applications comme Signal, WhatsApp, Wire et Wickr sont également basées sur les données et fonctionnent sur toutes les plateformes. Mieux encore, elles sont cryptées de bout en bout, ce qui signifie que les messages envoyés sont brouillés à une extrémité de la conversation – l’appareil – et débrouillés à l’autre extrémité sur l’appareil du destinataire. Il est donc quasiment impossible pour quiconque – même le créateur de l’application – de voir ce qui se dit.
De nombreuses applications populaires, comme Instagram, Skype, Slack et Snapchat ne proposent pas du tout de chiffrement de bout en bout. Facebook Messenger a l’option d’utiliser une messagerie cryptée de bout en bout « secrète », mais elle n’est pas activée par défaut.
Voici ce que vous devez savoir.
Pourquoi détester la messagerie SMS ?
Le SMS, ou service de messagerie courte, a plus de trois décennies. Il est généralement fiable, mais il est dépassé, archaïque et coûteux. Il existe également plusieurs raisons pour lesquelles la messagerie SMS n’est pas sécurisée.
Les messages SMS ne sont pas cryptés, ce qui signifie que le contenu de chaque message texte est visible pour les opérateurs mobiles et les gouvernements, et peut même être intercepté par des pirates organisés et semi-qualifiés. Cela signifie que même si vous utilisez les SMS pour sécuriser vos comptes en ligne à l’aide de l’authentification à deux facteurs, vos codes peuvent être volés. Tout aussi grave, les SMS laissent échapper des métadonnées, c’est-à-dire des informations sur le message mais pas sur le contenu du message lui-même, comme le numéro de téléphone de l’expéditeur et du destinataire, ce qui permet d’identifier les personnes impliquées dans la conversation.
Les SMS peuvent également être usurpés, ce qui signifie que vous ne pouvez jamais être totalement sûr qu’un SMS provient d’une personne en particulier.
Et une décision récente de la Federal Communications Commission donne désormais aux opérateurs cellulaires des pouvoirs accrus pour bloquer les SMS. La FCC a déclaré que cela réduirait le spam par SMS, mais beaucoup craignent que cela ne soit utilisé pour étouffer la liberté d’expression.
Dans tous ces cas, la réponse est une application de messagerie cryptée.
Quelles sont les meilleures applications de messagerie cryptée ?
La réponse simple est Signal, une appli de messagerie cryptée de bout en bout open source considérée comme la référence en matière de services de messagerie sécurisée pour les consommateurs.
Signal prend en charge et crypte tous vos messages, appels et chats vidéo avec les autres utilisateurs de Signal. Certains des professionnels de la sécurité et des experts en cryptographie les plus intelligents au monde ont examiné et vérifié son code, et ont confiance en sa sécurité. L’application utilise votre numéro de téléphone portable comme point de contact – ce que certains ont critiqué, mais il est facile de configurer l’application avec un numéro de téléphone dédié sans perdre votre propre numéro de portable. À part votre numéro de téléphone, l’appli est construite de A à Z pour collecter le moins de métadonnées possible.
Une récente demande du gouvernement concernant les données de Signal a montré que le fabricant de l’appli n’a presque rien à livrer. Non seulement vos messages sont chiffrés, mais chaque personne dans la conversation peut définir des messages à expirer – de sorte que même si un appareil est compromis, les messages peuvent être configurés pour déjà disparaître. Vous pouvez également ajouter un écran de verrouillage distinct sur l’application pour plus de sécurité. Et l’application ne cesse de se renforcer. Récemment, Signal a déployé une nouvelle fonctionnalité qui masque le numéro de téléphone de l’expéditeur d’un message, ce qui le rend meilleur pour l’anonymat de l’expéditeur.
Mais en fait, il y a une réponse beaucoup plus nuancée que « juste Signal ».
Chacun a des besoins, des désirs et des exigences différents. En fonction de qui vous êtes, de votre travail et des personnes à qui vous parlez, vous déterminerez quelle application de messagerie cryptée vous convient le mieux.
Signal peut être l’application préférée des emplois à haut risque – comme le journalisme, le militantisme et les travailleurs du gouvernement. Beaucoup trouveront que WhatsApp, par exemple, est assez bon pour la grande majorité qui veut simplement parler à ses amis et à sa famille sans se soucier que quelqu’un lise ses messages.
Vous avez peut-être entendu des choses mal informées sur WhatsApp ces dernières années, suscitées en grande partie par des reportages incorrects et trompeurs qui prétendaient qu’il y avait une « porte dérobée » permettant à des tiers de lire les messages. Ces affirmations n’étaient pas fondées. WhatsApp collecte certaines données sur ses 1,5 milliard d’utilisateurs, comme des métadonnées sur qui contacte qui, et quand. Ces données peuvent être transmises à la police si elle en fait la demande avec un ordre juridique valide. Mais les messages ne peuvent pas être lus car ils sont chiffrés de bout en bout. WhatsApp ne peut pas remettre ces messages même s’il le voulait.
Bien que beaucoup ne réalisent pas que WhatsApp appartient à Facebook, qui a fait face à une série de scandales de sécurité et de confidentialité au cours de l’année écoulée, Facebook a déclaré qu’il s’engageait à garder les messages WhatsApp cryptés de bout en bout par défaut. Cela dit, il est tout à fait possible que Facebook change d’avis à l’avenir, selon les chercheurs en sécurité. Il est juste de rester prudent, mais WhatsApp est toujours mieux à utiliser pour envoyer des messages chiffrés que pas du tout.
Le meilleur conseil est de ne jamais écrire et envoyer quelque chose sur une application de messagerie chiffrée de bout en bout, même si vous ne voudriez pas apparaître dans une salle d’audience – juste au cas où !
Wire est également apprécié par de nombreuses personnes qui font confiance à l’application multiplateforme open-source pour partager des chats et des appels de groupe. L’app ne nécessite pas de numéro de téléphone, optant plutôt pour des noms d’utilisateur, ce que beaucoup de ceux qui veulent un plus grand anonymat trouvent plus attrayant que les apps alternatives. Wire a également soutenu ses revendications de cryptage de bout en bout en demandant à des chercheurs de mener un audit externe de sa cryptographie, mais les utilisateurs doivent savoir qu’un compromis pour l’utilisation de l’app sur d’autres appareils signifie que l’app conserve un enregistrement de toutes les personnes que vous avez déjà contactées en texte clair.
iMessage est également chiffré de bout en bout et sont utilisés par des millions de personnes dans le monde qui ne se rendent probablement même pas compte que leurs messages sont chiffrés.
D’autres apps doivent être traitées avec précaution ou carrément évitées.
Des apps comme Telegram ont été critiquées par des experts pour sa cryptographie sujette aux erreurs, qui a été décrite comme « étant comme être poignardée dans l’œil avec une fourchette ». Et les chercheurs ont découvert que des applis comme Confide, autrefois l’une des préférées du personnel de la Maison Blanche, ne brouillent pas correctement les messages, ce qui permet aux créateurs de l’appli d’écouter secrètement la conversation de quelqu’un.
Comment vérifier l’identité de quelqu’un
Une question centrale de la messagerie cryptée de bout en bout est la suivante : comment savoir si une personne est bien celle qu’elle prétend être ?
Chaque appli de messagerie cryptée de bout en bout traite l’identité d’un utilisateur différemment. Signal l’appelle un « numéro de sécurité » et WhatsApp un « code de sécurité ». Dans l’ensemble, c’est ce que nous appelons la « vérification de la clé ».
Chaque utilisateur a sa propre « empreinte digitale » unique, associée à son nom d’utilisateur, à son numéro de téléphone ou à son appareil. Il s’agit généralement d’une chaîne de lettres et de chiffres. Le moyen le plus simple de vérifier l’empreinte digitale de quelqu’un est de le faire en personne. C’est simple : vous sortez tous les deux vos téléphones, vous ouvrez une conversation sur l’application de messagerie cryptée de votre choix et vous vous assurez que les empreintes digitales des deux appareils sont exactement les mêmes. Vous appuyez alors généralement sur un bouton « vérifier » – et c’est tout.
Vérifier l’empreinte digitale d’un contact à distance ou sur Internet est plus délicat. Il faut souvent partager son empreinte digitale (ou une capture d’écran) sur un autre canal – comme un message Twitter, sur Facebook ou par e-mail – et s’assurer qu’elles correspondent. (Micah Lee, de The Intercept, propose un parcours simple pour vérifier une identité.)
Une fois que vous avez vérifié l’identité de quelqu’un, il n’aura pas besoin d’être revérifié.
Si votre application vous avertit que l’empreinte digitale d’un destinataire a changé, il peut s’agir d’une raison inoffensive – il peut avoir un nouveau numéro de téléphone, ou avoir envoyé un message depuis un nouvel appareil. Mais cela pourrait aussi signifier que quelqu’un essaie d’usurper l’identité de l’autre personne dans votre conversation. Vous auriez raison d’être prudent, et d’essayer de revérifier son identité à nouveau.
Certaines applis ne prennent pas du tout la peine de vérifier l’identité d’un utilisateur. Par exemple, il n’y a aucun moyen de savoir que quelqu’un ne fouine pas secrètement dans vos conversations iMessage, car Apple ne vous avertit pas si quelqu’un surveille secrètement votre conversation ou n’a pas remplacé d’une manière ou d’une autre le destinataire d’un message par une autre personne.
Vous pouvez en savoir plus sur la manière dont Signal, WhatsApp, Telegram et Wire vous permettent de vérifier vos clés et vous avertissent des changements de clés. (Alerte spoiler : Signal est le choix le plus sûr.)
Il y a d’autres conseils que vous devriez connaître :
Les sauvegardes de messages cryptés ne sont généralement pas cryptées dans le cloud : Un point très important ici – souvent, vos messages cryptés ne sont pas cryptés lorsqu’ils sont sauvegardés dans le cloud. Cela signifie que le gouvernement peut exiger de votre fournisseur de services en nuage – comme Apple ou Google – qu’il récupère et transmette vos messages cryptés depuis ses serveurs. Vous ne devriez pas sauvegarder vos messages sur le cloud si cela vous préoccupe.
Méfiez-vous des applications de bureau : L’un des avantages de nombreuses applis de messagerie chiffrée est qu’elles sont disponibles sur une multitude de plateformes, d’appareils et de systèmes d’exploitation. Beaucoup proposent également des versions de bureau pour répondre plus rapidement. Mais au cours des dernières années, la plupart des vulnérabilités majeures se sont produites dans les logiciels de bureau bogués. Assurez-vous que vous êtes au courant des mises à jour des applications. Si une mise à jour vous oblige à redémarrer l’appli ou votre ordinateur, vous devez le faire immédiatement.
Mettez vos messages à expiration : Le chiffrement n’est pas magique ; il nécessite une prise de conscience et une réflexion. Une messagerie chiffrée de bout en bout ne vous sauvera pas si votre téléphone est compromis ou volé et que son contenu est accessible. Vous devriez fortement envisager de définir un délai d’expiration sur vos conversations pour vous assurer que les messages plus anciens seront supprimés et disparaîtront.
Gardez vos applis à jour : L’une des meilleures façons de vous assurer que vous restez sécurisé (et d’obtenir de nouvelles fonctionnalités !) est de vous assurer que vos applications de bureau et mobiles sont maintenues à jour. Des bogues de sécurité sont souvent découverts, mais vous n’en entendez pas toujours parler. Maintenir vos apps à jour est le meilleur moyen de vous assurer que vous obtenez ces correctifs de sécurité le plus rapidement possible, ce qui réduit le risque que vos messages soient interceptés ou volés.
{{titre}}
{date}}{auteur}}
.