iMessage post-quantique : la prochaine étape dans la protection de la vie privée

Apple a sorti un nouveau protocole de chiffrement – PQ3 – pour iMessage, qui importe la sécurité post-quantique dans la messagerie instantanée.

La généralisation de l’ordinateur quantique dans un avenir proche pourrait permettre aux pirates informatiques de déchiffrer rapidement des messages chiffrés à l’aide de méthodes de chiffrement classiques. Apple a proposé une solution à ce problème potentiel : après la prochaine mise à jour du système d’exploitation, les conversations dans iMessage seront protégées par un nouveau protocole de chiffrement post-quantique appelé PQ3. Cette technologie permet non seulement de modifier les algorithmes de chiffrement à clé publique de bout en bout pour qu’ils fonctionnent sur les ordinateurs non quantiques classiques, mais elle protège également contre les intrusions rendues possibles par les futurs ordinateurs quantiques.

Aujourd’hui, nous allons découvrir comment fonctionne ce nouveau protocole de chiffrement et pourquoi il est nécessaire.

Comment fonctionne le chiffrement PQ3

Tous les services et applications de messagerie instantanée courants mettent en œuvre aujourd’hui des méthodes de chiffrement asymétriques standards au moyen d’une biclé publique/privée. La clé publique sert à chiffrer les messages envoyés et peut être transmise par des canaux non sécurisés. La clé privée est le plus souvent utilisée pour créer des clés de session symétriques qui sont ensuite utilisées pour chiffrer les messages.

Ce niveau de sécurité est suffisant pour l’instant, mais Apple joue la prudence, craignant que les pirates informatiques n’anticipent l’arrivée des ordinateurs quantiques. En raison du faible coût de stockage des données, des individus malintentionnés peuvent collecter d’énormes quantités de données chiffrées et les stocker jusqu’à ce qu’elles puissent être déchiffrées à l’aide des ordinateurs quantiques.

Pour éviter cela, Apple a développé un nouveau protocole de protection cryptographique appelé PQ3. L’échange de clés est désormais protégé par un composant post-quantique supplémentaire. Cela minimise également le nombre de messages potentiellement déchiffrables.

Types de chiffrement utilisés dans les messageries

Types de chiffrement utilisés dans les messageries. Source

Le protocole PQ3 sera disponible dans iOS 17.4, iPadOS 17.4, macOS 14.4 et watchOS 10.4. La transition vers le nouveau protocole se fera progressivement : d’une part, toutes les conversations des utilisateurs sur des appareils prenant en charge le chiffrement PQ3 passeront automatiquement à ce protocole. Ensuite, au cours de l’année 2024, Apple prévoit ensuite de remplacer complètement le protocole de chiffrement de bout en bout utilisé jusqu’ici.

De manière générale, le mérite de ce renforcement imminent de la sécurité est à porter au crédit d’Apple, même si l’entreprise à la pomme n’est pas la première à proposer une cybersécurité post-quantique des services et applications de messagerie instantanée. L’automne dernier, les développeurs de Signal ont ajouté la prise en charge d’un protocole similaire – PQXDH, qui fournit une sécurité de messagerie instantanée post-quantique aux utilisateurs des versions mises à jour de Signal lors de la création de nouvelles discussions sécurisées.

Comment l’avènement de PQ3 affectera la sécurité des utilisateurs Apple

Pour l’essentiel, Apple ajoute un composant post-quantique au schéma global de chiffrement des messages de l’application iMessage. Dans les faits, le chiffrement PQ3 ne sera qu’un élément de son approche de la sécurité, conjointement avec le chiffrement asymétrique traditionnel ECDSA.

Toutefois, il n’est pas conseillé de se reposer uniquement sur les technologies de protection post-quantique. Igor Kuznetsov, directeur de l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky, a ainsi commenté les innovations d’Apple :

« Comme PQ3 repose toujours sur des algorithmes de signature traditionnels pour l’authentification des messages, une attaque de l’homme du milieu ou un agresseur muni d’un ordinateur quantique puissant (qui reste encore à créer) pourrait avoir encore une chance de pirater ce protocole.

Offre-t-il une protection contre les pirates capables de compromettre l’appareil ou de le déverrouiller ? Non, le chiffrement PQ3 protège uniquement la couche de transport. Une fois qu’un message a été remis à un appareil iOS, cela ne fait aucune différence : il peut être lu depuis l’écran, extrait par les forces de l’ordre une fois le téléphone déverrouillé ou exfiltré par des individus malintentionnés utilisant Pegasus, TriangleDB ou un logiciel équivalent.« 

Ainsi, les personnes soucieuses de la protection de leurs données ne doivent pas se fier uniquement aux protocoles modernes de chiffrement post-quantique. Il est important de s’assurer de la protection complète de votre appareil pour garantir que personne ne pourra accéder à vos messages instantanés.

Conseils