Déverrouille le secret derrière les applications de messagerie privée
Que vous partagiez des informations confidentielles ou que vous échangeiez des idées de films avec un ami, les gens utilisent des applications de messagerie privées qui offrent un cryptage de bout en bout pour protéger le contenu de leurs conversations.
Lorsque les données sont partagées sur Internet, elles traversent souvent plusieurs réseaux pour atteindre leur destination. Des applications comme WhatsApp, propriété du géant des médias sociaux Meta (anciennement Facebook), offrent un niveau de confidentialité qui empêche même les agences gouvernementales d’accéder aux conversations cryptées.
Mais avec les applications qui changent constamment leurs politiques de sécurité et de confidentialité, les messages sont-ils toujours à l’abri du décryptage ?
En mai 2021, le rejet par la communauté en ligne avec les modifications de la politique de confidentialité de WhatsApp pour les entités commerciales utilisant la plate-forme a vu de nombreux utilisateurs passer à d’autres applications de messagerie privées telles que Signal et Telegram.
L’expert en cybersécurité, le Dr Arash Shaghaghi de l’École d’informatique et d’ingénierie de l’UNSW et de l’Institut pour la cybersécurité de l’UNSW, compare le cryptage à une conversation secrète entre vous et une autre personne.
“Pour garder nos informations à l’abri des regards indiscrets, nous nous appuyons sur des algorithmes cryptographiques pour chiffrer nos données. Le chiffrement implique la conversion de texte brut lisible par l’homme en un format codé, et les données ne peuvent être lues qu’après avoir été déchiffrées”, dit-il.
“Le cryptage consiste à utiliser une clé pour verrouiller un message, tandis que le décryptage utilise une clé pour déverrouiller un message.
“En théorie, si un étranger observait une conversation chiffrée, il ne pourrait pas la comprendre et il aurait besoin de la bonne clé pour la déchiffrer.
“Il est intéressant de noter qu’avec certains protocoles de chiffrement de bout en bout, tels que Signal, ils ne peuvent pas déchiffrer les messages qui ont déjà été envoyés, même si quelqu’un vole les clés de chiffrement et appuie sur la connexion. Dans le langage crypto, cela s’appelle le secret de transmission. .”
Lire la suite: Camfecting : comment les hackers attaquent en accédant à votre webcam
Nos messages sont-ils complètement sécurisés ?
Les algorithmes de cryptage modernes ont été testés au combat et n’ont montré aucune vulnérabilité connue. Bien que cela ne signifie pas qu’il est impossible de craquer, le processus nécessite une puissance de traitement importante et peut prendre beaucoup de temps. Les ordinateurs quantiques, s’ils sont suffisamment matures, seront capables de déchiffrer une grande partie du cryptage d’aujourd’hui.
Les attaquants ciblent généralement les endpoints et leurs vulnérabilités. C’est beaucoup plus facile que la cryptanalyse, qui est le processus utilisé pour casser les systèmes de sécurité cryptographiques.
Par exemple, l’année dernière, les attaquants ont ciblé une vulnérabilité liée à la fonctionnalité de filtre d’image de WhatsApp qui se déclenchait lorsqu’un utilisateur ouvrait une pièce jointe contenant un fichier image malveillant. Des vulnérabilités plus graves et moins compliquées ciblant les clients WhatsApp fonctionnant sur iOS et Android ont été signalées.
Le Dr Shaghaghi explique que lorsque vous sauvegardez vos messages sur l’une des plates-formes de messagerie, vos messages sont envoyés dans le cloud. Cela signifie que tous vos messages sont maintenant stockés sur l’ordinateur de quelqu’un d’autre.
“La mise en œuvre du chiffrement de bout en bout par le fournisseur de services joue un rôle important dans la sécurité et la confidentialité d’une application de messagerie contre le fournisseur et les attaquants”, a-t-il déclaré.
“WhatsApp avait l’habitude de conserver une copie de sauvegarde des messages dans un format non crypté sur iCloud pour les utilisateurs d’Apple et Google Drive pour ceux qui utilisent WhatsApp sur Android. Bien que WhatsApp ait adopté un modèle de cryptage de bout en bout en 2016, les sauvegardes non cryptées étaient vulnérables aux demandes du gouvernement, au piratage par des tiers et à la divulgation par les employés d’Apple ou de Google. »
En 2021, WhatsApp a déployé une option permettant aux utilisateurs d’activer le chiffrement de bout en bout de leurs sauvegardes. Bien que cela ait été accueilli comme un pas en avant positif, il devrait être standard pour tous les utilisateurs – et non proposé en option, déclare le Dr Shaghaghi.
“Les utilisateurs soucieux de la sécurité et de la confidentialité de leurs données doivent s’assurer d’activer la sauvegarde de cryptage de bout en bout pour WhatsApp et d’autres plates-formes de messagerie.”
À moins que vous ne sauvegardiez vos données sur un serveur crypté, vous êtes toujours vulnérable au piratage. Photo : Shutterstock
Qu’en est-il du signal et du télégramme ?
Contrairement à WhatsApp et Signal, Telegram n’a pas de cryptage de bout en bout activé par défaut. Ce n’est que lorsque la fonction “chat sécurisé” est activée que Telegram utilise le protocole MTProto, un protocole open source et spécialement développé par le fournisseur de messagerie.
“Pour autant que nous le sachions, Signal, Telegram et WhatsApp sont sécurisés pour fournir un cryptage de bout en bout, si l’option est activée”, déclare le Dr Shaghaghi.
“Mais Signal est conçu avec la confidentialité et la sécurité comme motivation principale. Le code source du point de terminaison de Signal est également accessible au public, ce qui permet à quiconque d’inspecter le code et d’identifier les vulnérabilités.
“Je pense que le consensus est que Signal est une solution de messagerie plus sécurisée et plus respectueuse de la vie privée que WhatsApp, Telegram ou Facebook Messenger.”
Avec autant de plateformes de messagerie disponibles sur le marché, le Dr Shaghaghi dit qu’il y a quelques mesures simples à prendre pour aider à protéger la vie privée d’un utilisateur.
“Les plateformes de messagerie contiennent beaucoup d’informations privées, il vaut donc la peine de s’assurer que la plateforme que nous utilisons a une bonne réputation pour assurer la sécurité et la confidentialité des utilisateurs”, dit-il.
« Cela vaut également la peine de prendre quelques minutes supplémentaires pour activer certaines des fonctionnalités de sécurité les plus avancées qu’offrent ces plates-formes, telles que le cryptage de sauvegarde de bout en bout ou l’authentification multifacteur.
“Et quelle que soit la plate-forme que vous choisissez d’utiliser, la meilleure pratique consiste à s’assurer que nous utilisons la dernière version des applications et à éviter de télécharger des applications à partir de magasins tiers.”
Lire la suite: Comment le cyberespace est devenu le nouveau champ de bataille de la guerre moderne
Contenu modéré échangé sur des plateformes de messagerie cryptées de bout en bout
Il y a eu de fortes demandes de la part de diverses organisations gouvernementales pour que ces applications incluent des portes dérobées qui permettraient d’accéder aux données lorsque cela est jugé nécessaire par les autorités.
Des fuites récentes du Federal Bureau of Investigation (FBI) des États-Unis ont montré que même avec une citation à comparaître, les autorités puissantes ont un accès limité aux messages échangés via des applications qui utilisent un cryptage de bout en bout.
Cet argument préoccupe particulièrement de nombreux utilisateurs qui craignent qu’il ne s’agisse d’un premier pas vers les principes de cryptage renforcés sur lesquels ils s’appuient pour garantir la sécurité et la confidentialité de leurs données.
Il y a eu des débats en cours en Australie et à l’étranger sur ce sujet.
“Du point de vue de l’ingénierie de la sécurité, la mise en œuvre d’une porte dérobée n’est jamais une bonne idée”, déclare le Dr Shaghaghi.
“Il n’y a aucune garantie que les pirates malveillants ne découvriront pas également ces portes dérobées et ne les exploiteront pas.
“Cependant, les partisans d’une solution qui donne accès aux forces de l’ordre soutiennent qu’ils ont besoin d’un accès étant donné l’utilisation croissante de ces plateformes par les criminels.”
Certains fournisseurs de messagerie et entreprises technologiques ont réagi en apportant des modifications à la fonctionnalité de la plate-forme.
“Pour répondre aux exigences réglementaires, WhatsApp permet désormais aux utilisateurs de signaler un message pour qu’il soit examiné par leurs modérateurs. Cela doit être initié par un utilisateur et une fois qu’un message est signalé, les quelques messages avant qu’il ne soit également transmis aux modérateurs de WhatsApp”, a déclaré Dr .Shaghaghi.
“Apple a promu la messagerie cryptée dans son écosystème et a combattu les forces de l’ordre à la recherche d’enregistrements.
“En 2021, ils ont annoncé des fonctionnalités de sécurité pour les enfants qui incluent la détection d’images sexuellement explicites sur iMessage, une autre plate-forme qui utilise un cryptage de bout en bout. Pour mettre en œuvre cette fonctionnalité, Apple prévoit de mettre en œuvre la détection sur l’appareil et non via une porte dérobée de cryptage. .
“Je pense que nous pouvons équilibrer la nécessité de modérer le contenu criminel et les exigences de sécurité et de confidentialité en décomposant le problème en cas d’utilisation plus spécifiques et en développant des solutions innovantes.”
