Déverrouiller le secret des applications de messagerie privée

Déverrouiller le secret des applications de messagerie privée

Certaines applications de messagerie, telles que WhatsApp et Signal, fournissent un cryptage de bout en bout pour aider à protéger toutes les données partagées dans la conversation des utilisateurs. Crédit : Shutterstock

Que vous partagiez des informations confidentielles ou que vous échangeiez des idées de films avec un ami, les gens se tournent vers des applications de messagerie privées qui offrent un cryptage de bout en bout pour protéger le contenu de leurs conversations.

Lorsque les données sont partagées sur Internet, elles traversent souvent une série de réseaux pour atteindre leur destination. Des applications telles que WhatsApp, propriété du géant des médias sociaux Meta (anciennement Facebook), offrent un niveau de confidentialité qui empêche même les agences gouvernementales d’accéder aux conversations cryptées.

Cependant, les applications changeant constamment leurs politiques de sécurité et de confidentialité, les messages sont-ils toujours à l’abri du décryptage ?

En mai 2021, la désapprobation de la communauté en ligne avec les modifications apportées à la politique de confidentialité de WhatsApp pour les entités commerciales utilisant la plate-forme, a vu de nombreux utilisateurs passer à d’autres applications de messagerie privées telles que Signal et Telegram.

L’expert en cybersécurité, le Dr Arash Shaghaghi de l’École d’informatique et d’ingénierie de l’UNSW et de l’Institut de cybersécurité de l’UNSW, compare le cryptage à une conversation secrète entre vous et une autre personne.

“Pour garder nos informations à l’abri des regards indiscrets, nous nous appuyons sur des algorithmes cryptographiques pour crypter nos données. Le cryptage consiste à convertir un texte en clair lisible par l’homme en un format codé et les données ne peuvent être lues qu’après avoir été décryptées”, dit-il.

“Le cryptage consiste à utiliser une clé pour verrouiller un message, tandis que le décryptage utilise une clé pour déverrouiller un message.

“En théorie, si un étranger observait une conversation chiffrée, il ne pourrait pas en comprendre le sens, et il aura besoin de la clé appropriée pour la déchiffrer.

“Il est intéressant de noter qu’avec certains protocoles de chiffrement de bout en bout, tels que Signal, même si quelqu’un vole les clés de chiffrement et tape sur la connexion, il ne peut pas déchiffrer les messages déjà envoyés. En langage crypto, cela s’appelle le secret de transmission.”

Nos messages sont-ils entièrement sécurisés ?

Les algorithmes de cryptage modernes ont été testés au combat et n’ont montré aucune vulnérabilité connue. Bien que cela ne signifie pas qu’il est impossible de craquer, le processus nécessite des puissances de traitement importantes et peut prendre beaucoup de temps. Les ordinateurs quantiques, s’ils sont suffisamment mûrs, seront capables de déchiffrer une grande partie du cryptage d’aujourd’hui.

Les attaquants ciblent généralement les endpoints et leurs vulnérabilités. C’est beaucoup plus facile que la cryptanalyse qui est le processus utilisé pour violer les systèmes de sécurité cryptographiques.

Par exemple, l’année dernière, les attaquants ont ciblé une vulnérabilité liée à la fonctionnalité de filtre d’image de WhatsApp qui s’est déclenchée lorsqu’un utilisateur a ouvert une pièce jointe contenant un fichier image conçu de manière malveillante. Des vulnérabilités plus graves et moins compliquées ont été signalées ciblant les clients WhatsApp fonctionnant sur iOS et Android.

Le Dr Shaghaghi explique que lorsque vous sauvegardez vos messages sur certaines plates-formes de messagerie, vos messages sont poussés vers le cloud. Cela signifie que tous vos messages sont maintenant stockés sur l’ordinateur de quelqu’un d’autre.

“La mise en œuvre du chiffrement de bout en bout par le fournisseur de services joue un rôle important dans la sécurité et la confidentialité d’une application de messagerie contre le fournisseur et les attaquants”, a-t-il déclaré.

“WhatsApp avait l’habitude de conserver une sauvegarde des messages dans un format non crypté sur iCloud pour les utilisateurs Apple et Google Drive pour ceux qui utilisaient WhatsApp sous Android. Même si WhatsApp a adopté un modèle de cryptage de bout en bout en 2016, les sauvegardes non cryptées étaient vulnérables à demandes du gouvernement, piratage par des tiers et divulgation par des employés d’Apple ou de Google.”

En 2021, WhatsApp a déployé une option permettant aux utilisateurs d’activer le chiffrement de bout en bout de leurs sauvegardes. Bien que cela ait été accueilli comme un pas en avant positif, cela devrait être la valeur par défaut pour tous les utilisateurs, et non proposé en option, explique le Dr Shaghaghi.

“Les utilisateurs soucieux de la sécurité et de la confidentialité de leurs données doivent s’assurer d’activer la sauvegarde de cryptage de bout en bout pour WhatsApp et d’autres plates-formes de messagerie.”

Qu’en est-il du signal et du télégramme ?

Contrairement à WhatsApp et Signal, Telegram n’a pas de cryptage de bout en bout activé par défaut. Ce n’est que lorsque la fonction “chat sécurisé” est activée que Telegram applique le protocole MTProto, un protocole open-source et développé sur mesure par le fournisseur de messagerie.

“Pour autant que nous le sachions, Signal, Telegram et WhatsApp sont sécurisés pour fournir un cryptage de bout en bout, si l’option est activée”, déclare le Dr Shaghaghi.

“Cependant, Signal est construit avec la confidentialité et la sécurité comme motivation principale. Le code source du point de terminaison de Signals est également accessible au public, ce qui permet à quiconque d’inspecter le code et d’identifier les vulnérabilités.

“Je pense que le consensus est que Signal est une solution de messagerie plus sécurisée et plus respectueuse de la vie privée par rapport à WhatsApp, Telegram ou Facebook Messenger.”

Avec autant de plateformes de messagerie disponibles sur le marché, le Dr Shaghaghi dit qu’il y a quelques mesures simples à prendre pour aider à protéger la vie privée d’un utilisateur.

“Les plateformes de messagerie contiennent beaucoup d’informations privées, il vaut donc la peine de s’assurer que la plateforme que nous utilisons a une bonne réputation pour assurer la sécurité et la confidentialité de ses utilisateurs”, dit-il.

“Il vaut également la peine de consacrer quelques minutes supplémentaires pour activer certaines des fonctionnalités de sécurité les plus avancées offertes par ces plates-formes, telles que le chiffrement de sauvegarde de bout en bout ou l’authentification multifacteur.

“Et quelle que soit la plate-forme que vous décidez d’utiliser, il est préférable de s’assurer que nous utilisons la dernière version des applications et d’éviter de télécharger des applications à partir de magasins tiers.”

Modération des contenus échangés sur des plateformes de messagerie cryptées de bout en bout

Différentes organisations gouvernementales ont vivement demandé que ces applications incluent des portes dérobées qui donneraient accès aux données lorsque les autorités le jugeaient nécessaire.

Des fuites récentes du Federal Bureau of Investigation (FBI) des États-Unis ont démontré que même avec une assignation à comparaître, de puissantes entités gouvernementales ont un accès limité aux messages échangés via des applications qui utilisent un cryptage de bout en bout.

Cet argument est particulièrement inquiétant pour de nombreux utilisateurs qui craignent qu’il ne s’agisse d’un premier pas vers les principes de cryptage renforcés sur lesquels ils s’appuient pour garantir la sécurité et la confidentialité de leurs données.

Il y a eu des débats en cours en Australie et à l’étranger sur ce sujet.

“Du point de vue de l’ingénierie de la sécurité, la mise en œuvre d’une porte dérobée n’est jamais une bonne idée”, déclare le Dr Shaghaghi.

“Il n’y a aucune garantie que les pirates malveillants ne découvrent pas ces portes dérobées et ne les exploitent pas.

“Cependant, les partisans d’une solution permettant l’accès aux forces de l’ordre soutiennent qu’ils ont besoin d’un accès étant donné l’utilisation croissante de ces plateformes par les criminels.”

Certains fournisseurs de messagerie et entreprises technologiques ont réagi en apportant des modifications aux fonctionnalités de la plate-forme.

“Pour répondre aux exigences réglementaires, WhatsApp permet désormais aux utilisateurs de signaler un message pour qu’il soit examiné par leurs modérateurs. Cela doit être initié par un utilisateur et lorsqu’un message est signalé, les quelques messages qui le précèdent sont également transmis aux modérateurs de WhatsApp”, déclare Dr Shaghaghi.

“Apple a promu la messagerie cryptée dans son écosystème et a combattu les forces de l’ordre à la recherche d’enregistrements.

“En 2021, ils ont annoncé des fonctionnalités de sécurité pour les enfants qui incluent la détection d’images sexuellement explicites sur iMessage, une autre plate-forme utilisant un cryptage de bout en bout. Pour mettre en œuvre cette fonctionnalité, Apple prévoit de mettre en œuvre la détection sur l’appareil et non via une porte dérobée de cryptage.

“Je pense que nous pouvons équilibrer la nécessité de modérer le contenu criminel et les exigences de sécurité et de confidentialité en décomposant le problème en cas d’utilisation plus spécifiques et en développant des solutions innovantes.”


Faille de sécurité découverte dans WhatsApp, Telegram : des chercheurs


Fourni par l’Université de Nouvelle-Galles du Sud

Citation: Déverrouiller le secret des applications de messagerie privées (2022, 29 août) récupéré le 29 août 2022 sur https://techxplore.com/news/2022-08-secret-private-messaging-apps.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.