Messageries Internet sécurisées : fiction ou réalité ?

Avec la popularité des services de messagerie, est apparu le problème de la confidentialité des messages. Peut-on vraiment communiquer en ligne sans que personne ne nous espionne ? C’est ce que nous allons voir.

Peu de personnes n’utilisent pas les services de messagerie en ligne. WhatsApp est installé sur de centaines de millions d’appareils à travers le monde et traite quotidiennement des dizaines de milliards de messages. N’oubliez pas Skype, Viber, ICQ et une douzaine d’autres services moins populaires, dont les messageries intégrées de Facebook, LinkedIn et autres. Néanmoins, avec la popularité des services de messagerie, est apparu le problème de la confidentialité des messages. Cette inquiétude paraît certainement absurde si l’on considère la quantité d’informations que nous partageons quotidiennement sur Internet, mais il existe certains cas où la communication doit être complètement privée, sans aucune possibilité qu’un tiers ne l’infiltre. Peut-on vraiment communiquer en ligne sans que personne ne nous espionne ? C’est ce que nous allons voir.

Prologue

Pour approcher ce problème, nous devons considérer les façons dont une chaine de messages ou une communication vocale pourraient être exposée par un tiers. Il y a peu d’options. N’importe quel message, quelque soit sa nature (texte, vidéo, photo ou vocal), est enregistré sur des volumes de stockage locaux sur les systèmes de l’expéditeur et du destinataire. Ils sont ensuite transférés à travers des réseaux par câble ou sans fil avant d’être traités par le serveur du service (mais ce n’est pas obligatoire). Et si un individu arrive à contrôler l’accès à l’historique de la messagerie, le reste du trajet du message devient alors complètement hors de contrôle. Bien sûr, le chiffrement peut sauver la mise, mais il n’est pas totalement infaillible : qui peut garantir que le protocole, surtout s’il utilise des algorithmes de chiffrement courants, ne dispose d’aucune vulnérabilité ?

Prenez Skype, par exemple. Il était considéré, il y a un certain temps, comme une forteresse impénétrable, capable de résister à tout le monde, même aux pirates et aux puissantes organisations gouvernementales. Mais depuis que Skype Ltd. a perdu son indépendance après avoir été acquis par Microsoft, les choses ont changé, et nous ne pouvons désormais plus être certains à 100% de la sécurité de Skype.

Depuis que Skype Ltd. a perdu son indépendance après avoir été acquis par Microsoft, les choses ont changé, et nous ne pouvons désormais plus être certains à 100% de la sécurité de Skype.

Le service WhatsApp traite des dizaines de milliards de messages chaque jour : et il peut difficilement être considéré comme sûr. De nouvelles vulnérabilités sont annoncées chaque mois (même en considérant uniquement la version Android et en excluant les autres plateformes), et ses annonces sont accompagnées de détails qui font froid dans le dos. Par exemple, une récente étude de l’application a prouvé qu’un fichier chiffré stockant l’historique de messagerie sur votre appareil pouvaient être piratés en quelques secondes avec un simple script. De plus, la récente acquisition de WhatsApp par Facebook ne joue pas vraiment en faveur de la messagerie et de sa sécurité : nous ne savons pas à ce jour si Mark Zuckerberg a payé des milliards de dollars uniquement pour l’équipe de développement et ses technologies ou s’il a également acheté les données des utilisateurs.

 

Pour rendre justice aux services mentionnés ci-dessus, d’autres plateformes de messagerie gratuites, de Viber à iMessage, connaissent le même problème. Toutes permettent un accès à distance aux communications privées relativement rapide. D’une certaine manière, il est peut-être préférable que de tels services fassent partie de grands groupes qui doivent rendre des comptes aux gouvernements et aux autorités. Heureusement, chaque action provoque une réaction et avec autant de systèmes de messagerie non sécurisés, d’autres solutions supposées être plus sûres sont apparues. Sont-elles capables de résoudre le problème de la confidentialité ? Vérifions-le. Mais vous devez d’abord définir le niveau de sécurité qui vous convient le mieux.

Pour cela, il existe une expression amusante : « le théâtre de la sécurité ». C’est assez clair, elle fait référence aux mesures de sécurité ostensibles qui sont utilisées pour fournir une illusion d’action sans considérer l’efficacité de l’effort. On pourrait comparer cela aux mesures de sécurité anti-terroristes dans les transports publics : les objets et les individus suspects ne sont contrôlés que dans certaines stations. Les interphones installés dans de nombreux édifices sont également un autre exemple de cette « sécurité théâtrale ». Les mêmes caractéristiques peuvent être appliquées à la sphère des logiciels, et surtout aux messageries instantanées. Cela ne signifie pas nécessairement que certaines messageries sont inutiles : elles peuvent être une bonne alternative pour les utilisateurs que ne sont pas trop préoccupés par leur confidentialité et leur niveau de sécurité. Les agents se chargeant de la sécurité dans le métro offre tout de même une certaine sécurité. Nous devons reconnaitre qu’il est toujours possible d’utiliser une application de messagerie peu fiable, tout dépend de ce dont vous souhaitez vous protéger : d’un partenaire jaloux qui souhaiterait lire vos messages privés ou de personnes qui pourraient pirater le trafic entre un expéditeur et son destinataire. Et nous ne parlons pas des situations dans lesquels l’individu qui souhaite violer votre confidentialité est en fait votre interlocuteur : dans ce cas, aucun logiciel ne pourra vous protéger. Si vous n’avez pas confiance en votre interlocuteur, ne lui envoyez pas de messages !

Jetons un œil à plusieurs options populaires qui peuvent se classer dans deux catégories différentes.

L’illusion de la sécurité

Dans cette liste, nous avons classé les services de messagerie qui n’offrent pas le niveau de sécurité attendu ou qui ne garantissent pas la protection des communications contre le piratage (comme les attaques de l’homme du milieu).

Confide

Dans un sens, il s’agit d’une messagerie unique : tous les messages venant de Confide sont représentés comme des boîtes rectangulaires cachant le texte qui devient visible quand on passe son doigt dessus. De plus, l’application n’offre pas d’option de stockage à long terme de l’historique des messages, donc même si quelqu’un accède à votre téléphone, il ne pourra pas lire vos messages. S’il tente de réaliser une capture d’écran du message, l’utilisateur est renvoyé à la liste de contacts et son interlocuteur recevra une notification. Ces options sont très mises en avant par les développeurs de l’application : vous pouvez lire mais vous ne pouvez pas sauvegarder. Mais il y a un problème. Si un utilisateur souhaite enregistrer un message, il n’est pas obligé de réaliser une capture d’écran, il lui suffit juste d’utiliser un appareil photo pour enregistrer la communication au mot près. Dans ce cas, l’application peut être considérée comme un programme ayant recours à la « sécurité théâtrale » : la protection apparente de la messagerie et la désactivation des captures d’écran fournissent une illusion de sécurité. Elle conviendra certainement à ceux qui aiment jouer aux agents secrets.

Confide

Wickr

Pas très élégante en matière de design, mais ambitieuse, cette application se présente comme une solution qui ne laisse aucune trace de vos correspondances sur l’appareil : elle efface (dans certains cas, définitivement) l’historique des messages aussi bien dans la mémoire de l’appareil que dans le serveur, elle protège les messages avec des algorithmes de sécurité utilisés par les gouvernements, elle fournit des moyens de contrôler la durée de stockage des messages pour le destinataire et permet de désactiver la copie des messages. Cette dernières option, tout comme dans l’application précédente, repose sur les limitations techniques de la fonctionnalité au sein du téléphone.

Wickr

Telegram

Quand nous parlons de messageries instantanées sécurisées, comment est-il possible d’ignorer Telegram, qui est certainement la messagerie la plus connue pour être « sécurisée » ? Pourquoi est-elle inclus dans notre liste de messagerie ayant recours à la « sécurité théâtrale » ? La sécurité « sans précédent » de cette messagerie dont se vantent les développeurs de cette application n’a jamais été réellement prouvée et elle a été critiquée à maintes reprises.

Telegram

Nombreux d’entre vous se souviendront peut-être de la prime de 200 000 dollars offerte par les créateurs de la solution à celui qui réussirait à pirater le protocole MTProto. D’ailleurs, pour nombreux d’entres-nous, cette offre constitue certainement un solide argument prouvant la fiabilité de la messagerie. Néanmoins, les outils de piratage de la messagerie sont relativement inefficaces et sont incapables de mettre le protocole à épreuve. En relation avec ce fait, un auteur de cryptofails.com a d’ailleurs noté que MTProto n’était pas un algorithme sécurisé et fiable et qu’il « ignore toutes les études de cryptographie importantes publiées ces 20 dernières années » et a suggéré que les développeurs engagent un vrai expert en cryptographie pour analyser Telegram.

Autre détail curieux : bien qu’un protocole complexe soit à la base de Telegram, l’application reste vulnérable aux attaques directes. Nous ne parlons pas ici de piratage du trafic mais de quelque chose de bien plus simple. Au moment de l’inscription, l’utilisateur reçoit un SMS sur son téléphone et doit rentrer le code de sécurité qu’il a reçu afin d’activer l’application. Mais si un pirate accède aux SMS de la victime, il peut activer sa copie de l’application à partir du code de quelqu’un d’autre et par conséquent, recevoir tous les messages envoyés à la victime. Si l’on considère en plus que l’option « Chat sécurisé » n’est pas activée par défaut, la confidentialité de la correspondance a de grandes chances d’être compromise.

Ce qui est bien dans Telegram c’est sa rapidité : les messages sont envoyés et reçus instantanément et même plus rapidement que d’autres messageries. Est-ce une messagerie rapide ? Oui ! Est-elle sécurisée ? Eh bien, cela reste relatif.

Sécurité honnête

Cette catégorie comprend les applications et les services qui fournissent un niveau de sécurité en accord avec les options qu’elles affirment proposer et sont capables de protéger les communications des attaques de tiers.

Threema

Il s’agit d’un projet suisse devenu populaire après l’acquisition annoncée de WhatsApp. Les développeurs garantissent la sécurité de vos correspondances : premièrement, le logiciel chiffre de manière fiable les transferts de données; deuxièmement, il protège la confidentialité des utilisateurs grâce à sa confirmation en personne après l’ajout d’un nouveau contact. Cette option implique que les utilisateurs se rencontrent en personne et scannent un code QR sur le téléphone de l’autre, ce qui peut sembler être facile du point de vue de la sécurité mais c’est plutôt compliqué dans la réalité. Bien évidemment, vous pouvez ajouter un contact en tapant manuellement le nom de l’utilisateur, mais dans ce cas, le niveau de sécurité sera plus bas. Il est important de noter que les développeurs n’en font pas des tonnes pour prouver que leur messagerie offre un niveau de sécurité « sans précédent » et ne font pas de fausses promesses. Et oui, encore une chose : l’application ne vaut que deux dollars, payés une seule fois seulement.

Threema

Silent Circle

Il s’agit de l’un des quelques projets développés par des célèbres gourous de la cryptographie. L’équipe de développement inclut Phil Zimmerman, l’auteur de la technologie de chiffrement PGP. Comme Telegram, Silent Circle se repose sur l’algorithme SCIMP. Son avantage est qu’il a la capacité d’effacer complètement les messages envoyés sans laisser aucune trace : ni l’expéditeur, ni le destinataire ne pourront récupérer la correspondance sur leurs appareils. Cette option est activée aussi bien manuellement qu’automatiquement : après une certaine période de temps, les messages envoyés seront supprimés. Mais la qualité principale de cette messagerie est que le logiciel applique un chiffrement puissant au trafic, qui est simplement impossible à pirater. Par ailleurs, la solution peut transférer du trafic chiffré contenant aussi bien du texte, que des vidéos ou des messages vocaux. Pour ce qui est du reste, la messagerie est malheureusement remplie de défauts. Elle commence avec un processus d’enregistrement ambigu et termine avec le prix : une inscription d’un an à Silent Circle coûte 100 dollars.

Silent Text

 

TextSecure

Edward Snowden a beaucoup parlé d’une application gratuite de TextSecure appelée WhisperSystems. Le logiciel est effectivement une messagerie très simple, sans paramètres compliqués et qui fournit un chiffrement puissant aussi bien pour les messages stockés localement que pour ceux envoyés. Pour énumérer quelques défauts : l’application ne dispose pas de beaucoup de fonctionnalités et elles ne sont compatibles qu’avec Android mais les développeurs promettent qu’une version iOS sera bientôt disponible. En outre, l’un de ses fondateurs n’est autre que Moxie Marlinspike, un célèbre spécialiste du chiffrement.

TextSecure

SJ

50 dollars c’est le prix de ce qui est certainement la plus chère mais aussi la plus fiable des messageries pour iOS. Son avantage principal réside dans son habilité à utiliser des clés complémentaires individuelles au moment d’envoyer un message. Son principal défaut est qu’elle repose grandement sur les connaissances techniques des utilisateurs. Pour ceux qui utilisent Skype et WhatsApp, SJ semblera peut-être difficile à utiliser, on en revient donc au choix entre un niveau de sécurité sans précédent et une certaine facilité d’utilisation.

SJ

Pidgin

Il s’agit d’une messagerie populaire qui dispose d’une série complète de protocoles de sécurité. Elle est gratuite et compatible avec Windows, Linux et Mac, néanmoins, les développeurs recommandent aux utilisateurs d’Apple d’utiliser Adium, qui supporte les protocoles de chiffrement jusqu’à un impressionnant 4096 bit, ce qui est bien suffisant. Le logiciel supporte également le protocole OTR (Off-the-Record Messaging) qui permet d’assurer la confidentialité des correspondances et il est également doté de nombreuses extensions. L’un des autres avantages de la solution, surtout si l’on prend en compte le sujet de cet article, est son support de XMPP/Jabber, un système de messagerie instantanée décentralisé, flexible et sécurisé.

Pidgin

Cryptocat

Similaire à d’autres solutions de notre liste, Cryptocat, est une messagerie qui permet de chiffrer vos messages : mais contrairement aux autres, elle fonctionne comme une extension des navigateurs Chrome, Firefox, Safari et Opera. Néanmoins, pour les utilisateurs de Mac OS X et d’iPhone, elle est disponible comme une application séparée. Il y a un certain temps, les données sortantes et entrantes du service ont été compromises et l’équipe de développeurs a donc sérieusement augmenté son niveau de sécurité. Autre fait important : Cryptocat est régulièrement mise à jour et sa dernière version a été publiée au début du mois d’avril. Curieusement, le créateur du projet a posté le texte suivant sur le site Web du projet : « Cryptocat n’est pas une solution miracle. Même si Cryptocat fournit un chiffrement utile, vous ne devriez jamais faire confiance à un logiciel et Cryptocat ne fait pas exception. »

Cryprocat

À venir

Nous avons réalisé une liste des solutions à venir car leurs créateurs ne les ont pas encore complètement lancées mais ils ont tout de même publié quelques-unes de leurs caractéristiques. Nous verrons si ces applications tiendront leurs promesses.

Heml.is

Bien que Heml.is soit encore en développement, elle a déjà attiré l’attention. Ce n’est pas surprenant puisque l’un des participants au projet n’est autre que Peter Sunde, l’un des pères fondateurs du système de partage de fichiers, The Pirate Bay. Parmi les fonctionnalités du service, on trouve un protocole XMPP et une librairie PGO comme base de chiffrement. Parmi ces avantages immédiats, on trouve son design plaisant (à en juger par les présentations disponibles) et sa compatibilité multiplateforme.

En bref : une messagerie prometteuse, pas encore disponible.

Hemlis

Tor Instant Messaging Bundle (TIMB)

Il a été annoncé que l’équipe de développement de Tor travaillait à un service de messagerie à la fin du mois de février. Au début, le produit était supposé se baser sur l’application Pidgin, mais c’est finalement Instantbird qui a été choisi. TIMB supportera également le protocole OTR dont nous avons parlé précédemment et l’équipe de développement est composée d’experts en sécurité indépendants. L’approche de distribution de l’application n’a pas encore été communiquée. Dans tous les cas, cela vaut la peine d’attendre TIMB : quel autre messagerie vous permet non seulement de chiffrer vos correspondances mais aussi de préserver votre anonymat ?

TIMB

Épilogue

Il est évident qu’aucune messagerie n’est idéale. Vous devez toujours faire des compromis que cela soit au niveau du budget, de la facilité d’utilisation ou de votre sécurité. De plus, la protection des communications en ligne sécurisées n’est pas réalisée par un seul programme : elle consiste toujours de plusieurs mesures de sécurité. En outre, aucun logiciel ne peut garantir votre sécurité à 100% si vous ne faites pas confiance à vos interlocuteurs, si votre réseau est contrôlé de manière externe, ou si votre appareil a été infiltré par un malware espion comme par un enregistreur de frappes. Bien que la solution au premier problème soit difficile à trouver, les autres sont faciles à régler : un accès VPN pour votre système coûte environ 5€ par mois, et il vous protégera des menaces venant des réseaux Wi-Fi publics. Pour ce qui est des enregistreurs de frappes et autres malwares, il existe des solutions de sécurité offrant une protection fiable, comme les notre par exemple. Avec de tels moyens à votre disposition, ajoutez n’importe quelle messagerie XMPP/Jabber et soyez certain que vos communications ligne seront sécurisées.

Conseils