Votre application de messagerie est-elle vraiment sécurisée?
Les applications de messagerie sont l’un des plus, sinon le moins la applications les plus importantes que nous utilisons tous les jours. Qu'il s'agisse de rester en contact avec votre famille et vos amis du monde entier, de contacter vos collègues ou de gérer des opérations commerciales, les applications de messagerie telles que WhatsApp, iMessage, Skype et Facebook Messenger jouent un rôle important dans nos communications quotidiennes..
Nous partageons souvent des éléments tels que des images personnelles, des secrets commerciaux et des documents juridiques sur des applications de messagerie, des informations que nous ne souhaitons pas mettre à la disposition des mauvaises personnes. Mais jusqu'où pouvons-nous faire confiance à vos applications de messagerie pour protéger tous nos messages confidentiels et nos informations sensibles?
Vous trouverez ci-dessous des instructions qui vous aideront à évaluer le niveau de sécurité fourni par votre application de messagerie préférée..
Quelques mots sur le cryptage
Bien sûr, toutes les plates-formes de messagerie prétendent chiffrer vos données. Le cryptage utilise des équations mathématiques pour brouiller les données en transition afin d'empêcher les oreilles indiscrètes de lire vos messages..
Un cryptage approprié garantit que seuls l'expéditeur et le destinataire d'un message connaissent son contenu. Cependant, tous les types de cryptage ne sont pas égaux..
Les applications de messagerie les plus sécurisées sont celles qui offrent un cryptage de bout en bout (E2EE). Les applications E2EE stockent les clés de décryptage sur les appareils des utilisateurs uniquement. E2EE protège non seulement vos communications contre les oreilles indiscrètes, mais veille également à ce que l'entreprise qui héberge l'application ne puisse pas lire vos messages. Cela signifie également que vos messages seront protégés contre les violations de données et les mandats intrusifs par des agences à trois lettres..
De plus en plus d'applications de messagerie fournissent un cryptage de bout en bout. Signal était l'une des premières plates-formes à prendre en charge E2EE. Ces dernières années, d'autres applications ont adopté le protocole de cryptage de Signal ou ont développé leur propre technologie E2EE. Les exemples incluent WhatsApp, Wickr et iMessage.
Facebook Messenger et Telegram prennent également en charge la messagerie E2EE, bien qu'elle ne soit pas activée par défaut, ce qui la rend moins sécurisée. Skype a également ajouté récemment une option «Conversation privée» qui vous permet de chiffrer de bout en bout une conversation de votre choix..
Les hangouts de Google ne prennent pas en charge le cryptage de bout en bout, mais la société fournit Allo et Duo, des applications de messagerie texte et de visioconférence cryptées de bout en bout..
Suppression de message
La sécurité ne se limite pas au cryptage des messages. Que se passe-t-il si votre appareil ou celui de la personne avec laquelle vous discutez est piraté ou tombe entre de mauvaises mains? Dans ce cas, le cryptage sera peu utile, car l'acteur malveillant pourra voir les messages dans leur format non crypté..
Le meilleur moyen de protéger vos messages est de vous en débarrasser lorsque vous n'en avez plus besoin. Cela garantit que même si votre appareil devient compromis, des acteurs malveillants n'auront pas accès à vos messages confidentiels et sensibles..
Toutes les applications de messagerie fournissent une certaine forme de suppression de message, mais encore une fois, toutes les fonctionnalités de suppression de message ne sont pas également sécurisées.
Par exemple, Hangouts et iMessage vous permettent d'effacer l'historique de vos discussions. Cependant, même si les messages sont supprimés de votre appareil, ils restent sur les appareils des personnes avec lesquelles vous discutez..
Par conséquent, si leurs appareils sont compromis, vous perdrez toujours le contrôle de vos données sensibles. À son crédit, Hangouts dispose d'une option pour désactiver l'historique des discussions, ce qui supprimera automatiquement les messages de tous les appareils après chaque session..
Dans Telegram, Signal, Wickr et Skype, vous pouvez supprimer les messages de toutes les parties à une conversation. Cela peut faire en sorte que les communications sensibles ne restent dans aucun des périphériques impliqués dans une conversation..
WhatsApp a également ajouté une option «supprimer pour tout le monde» en 2017, mais vous pouvez l'utiliser pour supprimer uniquement les messages que vous avez envoyés au cours des 13 dernières heures. Facebook Messenger a également ajouté une fonction "unsend" très récemment, bien que cela ne fonctionne que pendant 10 minutes après l'envoi d'un message..
Signal, Telegram et Wickr offrent également une fonctionnalité de message à destruction automatique, qui supprime immédiatement les messages de tous les périphériques après une période de temps configurée. Cette fonctionnalité est particulièrement utile pour les conversations sensibles et vous évite d’effacer manuellement les messages..
Métadonnées
Chaque message est accompagné d'une quantité d'informations auxiliaires, également appelées métadonnées, telles que les identifiants d'expéditeur et de destinataire, l'heure d'envoi, de réception et de lecture d'un message, les adresses IP, les numéros de téléphone, les identifiants de périphériques, etc..
Les serveurs de messagerie stockent et traitent ce type d'informations pour s'assurer que les messages sont remis aux destinataires appropriés et à temps, et pour permettre aux utilisateurs de parcourir et d'organiser leurs journaux de discussion..
Bien que les métadonnées ne contiennent pas de texte de message, elles peuvent être très dommageables et révéler beaucoup de choses sur les modes de communication des utilisateurs, tels que leur emplacement géographique, le moment où ils utilisent leurs applications, les personnes avec lesquelles ils communiquent, etc..
Au cas où le service de messagerie serait victime d'une violation de données, ce type d'informations pourrait ouvrir la voie à des cyberattaques telles que le phishing et d'autres schémas d'ingénierie sociale..
La plupart des services de messagerie collectent une multitude de métadonnées et, malheureusement, il n’existe aucun moyen sûr de savoir quel type de magasin de services de messagerie d’information. Mais de ce que nous savons, Signal a le meilleur bilan. Selon la société, ses serveurs enregistrent uniquement le numéro de téléphone avec lequel vous avez créé votre compte et la dernière date à laquelle vous vous êtes connecté à votre compte..
Transparence
Chaque développeur vous dira que son application de messagerie est sécurisée, mais comment en être sûr? Comment savez-vous que l'application ne cache pas une porte dérobée implantée par le gouvernement? Comment savez-vous que le développeur a bien testé l’application??
Les applications rendent le code source de leur application accessible au public, également appelé «open-source», sont plus fiables, car des experts en sécurité indépendants peuvent examiner et confirmer si elles sont sécurisées ou non..
Signal, Wickr et Telegram sont des applications de messagerie open source, ce qui signifie qu'elles ont été examinées par des pairs par des experts indépendants. Signal a notamment le soutien d'experts en sécurité tels que Bruce Schneier et Edward Snowden.
WhatsApp et Facebook Messenger sont à code source fermé, mais ils utilisent le protocole de signal à code source libre pour chiffrer leurs messages. Cela signifie que vous pouvez au moins vous assurer que Facebook, qui est propriétaire des deux applications, ne regardera pas le contenu de vos messages..
Pour les applications à sources entièrement fermées telles que iMessage d’Apple, vous devez entièrement faire confiance au développeur pour éviter les erreurs de sécurité désastreuses..
Pour être clair, open-source ne signifie pas sécurité absolue. Mais au moins vous pouvez vous assurer que l'application ne cache rien de méchant sous le capot.