Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
Cyber Intelligence

Cyber Intelligence

Pour comprendre le Cyber-espace

Telegram, Signal, WhatsApp et cie : quelles sont les messageries instantanées cryptées les moins piratables ? (Source Atlantico)

Les messageries instantanées cryptées sont de plus en plus utilisées. Néanmoins, elles ne sont pas infaillibles comme l'a montré le piratage de Telegram. Passage en revue de ces nouvelles plateformes de communication pour savoir lesquelles choisir.

Atlantico : Parmi toutes les messageries instantanées cryptées, lesquelles sont les plus sûres ? 

Thomas Léger : Personnellement, ma préférence sur smartphone va vers la messagerie Signal développée par Open Whisper Systems. Elle est sans doute la meilleure application disponible gratuitement et en plus, totalement ergonomique. Sans rentrer dans les détails techniques, il s’agit pour le moment de la messagerie la plus sécurisée et la plus fonctionnelle. Elle permet de crypter de manière totale les communications écrites, mais aussi vocales. Cette application disponible sur IOS et Android est recommandée par l’Electronic Frontier Fondation (EFF), mais aussi par Édouard Snowden en personne qui encourage vivement les sociétés à vulgariser l’accès au cryptage des communications.

C’est chose faite puisque Signal crypte et décrypte les communications avec votre smartphone et vous offre en plus la possibilité de vérifier en temps réel que votre conversation téléphonique n’est pas déviée. À cela s’ajoute un atout réellement appréciable et qui contribue à son succès, l’ergonomie ! Il y a encore peu, établir une communication sécurisée était un réel défi technique accessible à une minorité. Avec les nouvelles applications dont Signal, ce n'est plus le cas. La configuration est quasiment inexistante et transparente, ce qui ne lui enlève pas pour autant un haut niveau de sécurité. Quant à la prise en main, elle est simple et intuitive. On peut partager des fichiers de type image et vidéo, etc., et créer des groupes et appels cryptés de qualité. Il est désormais simple de faire usage des messageries sécurisées et dans ce sens je recommande Signal. Il est impératif de ne pas faire usage de n’importe quelle messagerie pour votre usage professionnel, les communications sont devenues un maillon faible des sociétés et rappelons rapidement que nous évoluons dans un environnement qui est économiquement en guerre permanente. Pour exemple rapide, il n’est pas rare que des sociétés fassent appel à des cybercriminels pour hacker une entité concurrente, interception de ses communications comprise, et ce à des fins stratégiques de guerre économique. Même si cette pratique semble encore être de la science-fiction dans les mentalités dirigeantes françaises, il n’en est rien dans le reste du monde et les entreprises nationales en font quotidiennement les frais.

En complément je recommande tout simplement la messagerie Facebook qui offre depuis peu le cryptage de "bout en bout" grâce à la fonction conversation secrète. Son fonctionnement repose sur le système de l’application Signal. Couplé à un compte bien protégé cela devient sécurisant en plus d’être confortable à utiliser. Idéal pour les conversations avec le cercle familial et amical, il ne faut pas perdre pour autant de vue que les informations transitent par les serveurs du géant. Bien que la firme admette ne pas avoir accès aux messageries cryptées, il est tout simplement prudent d’éviter d’aborder des sujets sensibles. Cette fonction prend tout son intérêt seulement si votre compte Facebook est correctement sécurisé avec un mot de passe solide et la majorité des options de sécurisation mises en place. De plus, Facebook est un grand groupe qui laisse sous-entendre une mise à jour permanente de ses Datacenters et de ses applications, rendant son réseau peu vulnérable à des attaques malveillantes.

Lesquelles sont les moins sûres ? 

C’est une question difficile et qui doit être contextualisée. L’usage et le lieu par exemple jouent un rôle important. Une réflexion sur votre besoin s’impose avant le début d’une communication. Pour ma part je déconseille l’application WhatsApp (propriété de Facebook) et Telegram à mon environnement. La première est relativement poreuse, elle a certes fait des efforts importants en matière de cryptage, mais il a été prouvé malgré tout qu’il est toujours possible de contourner les sécurités et donc d’accéder en direct à votre contenu et même d’émettre en votre nom. Ce type de faille peut conduire à de nombreuses actions malveillantes. C’est donc une application à bannir pour des échanges professionnels. Pour la seconde, Telegram, application certes moins populaire que WhatsApp et pourtant bien plus sécurisée, le problème est différent. C’est une messagerie sûre qui n’a connu que peu de piratages et d’interceptions malveillantes, son fonctionnement est agréable et intuitif au même titre que Signal. Mais le bémol réside dans la mauvaise publicité dont elle a été victime suite à son usage régulier par les terroristes de Daech. Il est donc désormais certain que les communications transitant par Telegram sont sous surveillance par les différents services étatiques. Cela ne pose aucun souci pour un usage autre que professionnel. Mais dans un tel cas attention de ne pas livrer sur un plateau d’argent votre toute dernière innovation ou la stratégie de votre société à un organisme étatique étranger en charge de la veille économique.

Pour simplifier, dans le cadre d’un usage de communication non sensible, ne portez votre choix que sur Signal, Facebook Messenger (en crypté), Whastsapp et Telegram. Il en existe d’autres, mais la question de leur légitimité se pose, en plus de leur popularité. Rien ne sert d’avoir une messagerie hautement sécurisée pour communiquer avec soi-même.

Sont à bannir Snapchat et les messageries du même type qui sont très mal sécurisées. Mais aussi les applications gracieusement préinstallées par le fabricant de votre smartphone Android ou IOS. Celles-ci peuvent contenir des fonctionnalités secrètes en vue de récupérer vos informations, dont votre historique de messagerie, et ce à des fins commerciales ou de sécurité étatique. J’insiste sur le sentiment de sécurité qu’offrent les produits Apple, et le récent débat autour de l’enquête du FBI qui n’arrivait pas à déverrouiller un iPhone. Ne vous y méprenez pas. Apple est soumis aux différentes lois de surveillance aux États-Unis et le contenu de ses Clouds et messageries, et au même titre qu’Android, est lisible pour les services américains.

Les niveaux de sécurité sont-ils les mêmes ou bien diffèrent-ils en fonction du profil de l'utilisateur, qu'il soit un diplomate ou un particulier par exemple ? 

C’est une question délicate. La vie privée d’un particulier a-t-elle moins de valeur que celle d’un politique ou d’un chef d’entreprise ?

 

 

 

Je ne pense pas. À terme chacun doit prendre conscience que sécuriser sa vie numérique c’est aussi sécuriser sa vie tout court, et par extension, sa vie professionnelle. Mais il y a dans ce sens un très gros travail de prise de conscience à effectuer et les habitudes ont la vie dure.

Mais concrètement, toute personne travaillant en lien avec des informations d’ordre économique et de manière plus générale professionnel ou politique est responsable de la sécurisation de ses communications. Elles doivent être conscientes qu’un mauvais choix de messagerie peut un jour leur porter préjudice et conduire à des actes de guerres économiques, des piratages simples ou massifs de leurs sociétés ou de leurs fonctions. Il est courant de voir des chefs d’entreprises ou toute autre personne ayant accès à des données stratégiques pour X ou Y société, mais aussi des politiques, utiliser de manière quotidienne les applications et cloud constructeurs notamment IOS, qui certes sont très pratiques, mais aussi totalement centralisés. C’est une prise de risque indéniable. Par où transitent mes données ? Où sont-elles hébergées ? En France, en Europe, ailleurs ? Quelles sont les lois relatives aux données dans le pays par lequel elles transitent ?

Individuellement parlant nous pourrions dire qu'il faudrait avoir la même approche. Toutefois on autorisera plus facilement des messageries moins sécurisées comme WhatsApp ou Facebook Messenger. Mais, une fois de plus, il ne faut pas révéler trop d’informations personnelles et partir du principe que celles-ci peuvent être collectées de manière malveillante ou commerciale. L’essentiel quand on ne maitrise pas la sécurité numérique est de cloisonner au maximum et simplement de ne pas envoyer des informations dans le cyberespace que nous ne sommes pas prêts à perdre.

 

Et pour les applications vidéos (Skype, Facetime...), la sécurité est-elle garantie ? 

Skype est une messagerie extrêmement répandue et grand nombre de sociétés en font usage de manière intensive, souvent pour des raisons pratiques, mais aussi pour des raisons économiques en supprimant tout simplement l’usage de la téléphonie fixe en interne. Le point intéressant est que Skype affirme faire usage d’un chiffrement, avec un cryptage des communications écrites, téléphoniques, mais aussi vidéos. Mais ce chiffrage comporte des failles possibles lors du cheminement de l’information, et des interceptions sont possibles. Dans ce sens Skype a même été accusé à plusieurs reprises de collaboration avec des services de sécurité, à l’égal de Facebook. Vos informations transitent par des serveurs Microsoft et vous en perdez le contrôle. Une fois de plus, prudence sur la confidentialité du contenu lors de vos conversations au même titre que lors d’un usage privé. La sécurisation du compte est primordiale, un mot de passe solide sera quasiment votre seul rempart face à des actes malveillants, le logiciel n’offrant que peu d’options de sécurité et de transparence dans l’usage et la sauvegarde ou non de vos données, le tout dans un contexte criminel où les offres de piratages de comptes Skype sont légions sur le marché noir.

Pour Facetime, Apple avance un chiffrement de bout en bout, ce qui est une bonne chose pour la protection des appels vocaux et vidéos. Mais en contrepartie la firme est quasiment opaque sur son fonctionnement et elle est victime de faille de procédure notamment avec iCloud qui est accusé de sauvegarder à votre insu et de manière non cryptée vos conversations. Bien qu'Apple laisse sous-entendre qu’elle ne peut pas lire vos conversations cryptées, et que la sécurité et la vie privée de ses utilisateurs sont primordiales, il est important de se demander une fois de plus où sont hébergées vos données et sous quelle obligation légale elles sont soumises.

Je pense qu’il est encore un peu tôt pour affirmer que les communications vidéo sont sécurisées. Nous sommes seulement dans la phase de déploiement des messageries écrites cryptées et d’un point de vue technique je reste pour l'instant prudent sur le chiffrement d’une vidéo de bout en bout. Les trois leaders de la conversation vidéo, Facebook, Skype (Microsoft) et Facetime (Apple) sont des géants du numérique et il me semble utopiste de croire qu’ils sont indépendants de toute collaboration avec les services étatiques ou encore d’objectifs commerciaux.

Nous n’avons parlé ici que de quelques solutions disponibles sur smartphone, mais il en existe d’autres pour Windows, Linux, etc. qui peuvent être gratuites ou payantes. Une étude en fonction de vos besoins vous aidera à faire le choix adéquat. Pour rappel, n’oubliez pas que tôt ou tard vous serez victime d’un piratage malveillant, particulièrement pour une société, ou d’une surveillance étatique à titre individuel. Le choix de vos moyens de communication aura une influence dans votre résistance numérique à ces actes. Il pourra en résulter une défense solide de votre vie privée ou de votre société ou au contraire une porte grande ouverte pour vos détracteurs. Il faudra alors rattraper les dommages financiers, mais aussi l’impact négatif sur votre réputation. Cela mérite réflexion personnelle ou organisationnelle pour minimiser les risques et pouvoir continuer à profiter pleinement du Cyber et de ses avantages. 

Source: http://www.atlantico.fr/rdv/minute-tech/telegram-signal-whatsapp-et-cie-quelles-sont-messageries-instantanees-cryptees-moins-piratablesthomas-leger-whatsapp-facebook-2890036.html/page/0/1

Partager cet article

Repost 0

Commenter cet article