Qu’est-ce qui rend une application de messagerie sûre?

Comment sécuriser les conversations sur votre téléphone et pourquoi le chiffrement seul ne suffit pas ?

Nous avons publié plusieurs comparaisons d’applications de messagerie sécurisée avec chiffrement de bout en bout, partagé les paramètres recommandés et décrit les défauts respectifs de ces applications. Mais qu’en est-il des gens qui souhaitent utiliser des messageries sûres mais qui ne sont pas vraiment des geeks ? Cet article est fait pour eux, il est basé sur une étude approfondie et un rapport intitulé Qu’est-ce qui est sécurisé ? publié par un groupe d’experts des agences Tech Policy Press et Convocation Research and Design.

Le rapport contient des recommandations pour les utilisateurs et les développeurs. Mais comme tout le monde ne lira pas les 86 pages de texte, nous résumons ci-dessous les principales conclusions de l’article.

Objet d’étude

Les chercheurs ont interrogé des groupes d’utilisateurs en Louisiane aux États-Unis et à Delhi en Inde pour déterminer les points forts et les points faibles des applications de messagerie actuelles. Les applications populaires suivantes ont été examinées :

  • Apple iMessage
  • Meta (Facebook) Messenger
  • Messages by Google
  • Signal
  • Telegram
  • WhatsApp

L’étude s’est concentrée sur la façon dont les humains réagissent aux conseils intégrés à l’application et sur la façon dont ils comprennent la signification de chaque fonctionnalité. Plus important encore, les répondants ont été interrogés sur leurs craintes et sur la manière dont ils pensent que les applications de messagerie sécurisée sont utiles dans leur vie ou pourraient l’être. Certaines des personnes interrogées ont déclaré s’inquiéter d’éventuelles violences physiques, telles que la violence domestique, en rapport avec les messages, tandis que d’autres craignent d’être persécutées par les autorités. Ce constat a eu un effet important sur leur perception de la notion de « sécurisé ».

Résultat clé

Le chiffrement de bout en bout n’est qu’un aspect de la sécurité. Le chiffrement des messages ne résoudra pas tous les problèmes rencontrés par un utilisateur menacé. Par conséquent, il faut réfléchir à une stratégie contre des adversaires motivés. Y a-t-il un risque que votre téléphone soit saisit ? Un risque que vous soyez contraint de le déverrouiller ? Craignez-vous que quelqu’un tente d’obtenir vos données auprès de l’entreprise propriétaire de l’application par le biais d’un litige ou d’une ordonnance judiciaire ? Ou que quelqu’un infecte votre téléphone au moyen d’un logiciel espion ? Serait-il plus facile pour les criminels d’essayer d’extraire ces données auprès de la personne avec laquelle vous conversez ? Pour beaucoup, la réponse à chacune des questions ci-dessus est non, donc une application de messagerie chiffrée offre une sécurité suffisante en soi. Et même si votre réponse est oui, ce n’est pas une raison pour renoncer au chiffrement et à la messagerie sécurisée : ces éléments doivent simplement constituer une partie de votre protection.

Comme conseils supplémentaires, les chercheurs recommandent aux groupes d’utilisateurs vulnérables ci-dessus de prendre plusieurs mesures techniques (ci-dessous, vous trouverez de plus amples informations à propos de celles-ci) mais, surtout, de ne pas transporter leurs téléphones dans des endroits où ils pourraient être physiquement saisis ou déverrouillés de force. Ils suggèrent d’acheter un deuxième téléphone pour ces endroits dangereux et de confier l’appareil principal à une personne de confiance.

Conseils de base sur la sécurisation des messages

Les plus grands secrets sont mieux livrés en face à face. Aucune méthode de communication numérique n’est totalement sécurisée. Par conséquent, les informations les plus risquées, en particulier si elles constituent une menace pour la santé ou même la vie, doivent être discutées en personne, et non par messagerie.

Ne prenez pas de décisions à l’aveuglette. Les utilisateurs font des efforts conscients pour protéger leur vie privée, mais ils se fient souvent à l’opinion populaire en matière de sécurité, et non à des sources vérifiées. Peu de personnes lisent les documents qui accompagnent les applications de messagerie : les conditions d’utilisation ou les rapports sur la transparence et le partage de données gouvernementales. Recherchez soigneusement ce que votre service de messagerie stocke réellement et où, et avec qui, les données sont partagées et ont été partagées dans le passé. Ces informations peuvent être trouvées dans les rapports de transparence et dans la presse.

Vérifiez attentivement les paramètres de l’application. Donnez un sens à chaque paramètre et activez toutes les options les plus sûres. Gardez à l’esprit que certaines parties des paramètres de confidentialité peuvent être réparties dans les paramètres généraux du téléphone (ce point est particulièrement vrai pour iMessage dans iOS et Messages by Google dans Android) ou dans des sections des paramètres de l’application (typique dans Telegram).

Évitez les modes hybrides. Plusieurs applications de messagerie prennent en charge les messages chiffrés et non chiffrés. Dans iMessage et Messages by Google, vous pouvez envoyer des textes ouverts et des messages chiffrés dans la même conversation. Cependant, c’est une mauvaise idée, car ces types de messages sont toujours confondus. Messenger et Telegram proposent des conversations chiffrées et non chiffrées séparées, le mode non chiffré étant utilisé par défaut. L’article recommande d’utiliser des applications de messagerie qui reposent sur un chiffrement complet : Signal ou WhatsApp.

Plus il y a de fonctionnalités, plus le risque est élevé. Des fonctionnalités supplémentaires, telles que des stories, des bots ou des liens vers des services de réseaux sociaux, fournissent des canaux de surveillance et de fuite de données supplémentaires. Il est préférable de désactiver ces types de fonctionnalités ou d’éviter complètement d’utiliser l’application qui les proposent.

Désactivez les aperçus de liens, le partage de la géolocalisation et les GIF. Ces fonctionnalités sont parfois utiles, mais elles peuvent être utilisées par diverses parties (y compris des sites Web liés) pour vous retrouver. Un autre canal de fuite potentiel est la recherche et le partage de GIF dans les conversations.

Les applications de messagerie qui fonctionnent sans numéro de téléphone sont utiles. Ceux-ci incluent, dans une certaine mesure, Telegram, Messenger et iMessage, bien que la configuration de chacun d’entre eux pour utiliser votre nom d’utilisateur interne ou votre adresse email comme identifiant lors d’une conversation demande un certain effort. Selon le rapport, WhatsApp et Signal prévoient également d’ajouter une telle fonctionnalité.

Utilisez les messages qui disparaissent. Les plus craintifs d’entre nous peuvent activer la suppression automatique des conversations après un court laps de temps, par exemple une minute. Malheureusement, toutes les applications de messagerie ne disposent pas de telles options, et dans certaines d’entre elles, la période de visibilité la plus courte est de 24 heures. Les messages qui disparaissent ne vous protègent guère des captures d’écran ni d’autres façons d’enregistrer les discussions. La suppression automatique des messages est utile si vous vous attendez à ce que des inconnus fouillent dans votre téléphone à tout moment.

Chiffrez les sauvegardes de conversations. Les sauvegardes cloud par défaut sont un canal de fuite fréquent. Il est donc impératif qu’elles soient chiffrées (ce qui doit être activé manuellement dans WhatsApp et iMessage), enregistrées localement (par exemple, sur une carte SD si vous utilisez un téléphone Android) ou désactivées complètement. Toutes les sauvegardes locales doivent également être chiffrées.

Comparez les clés de chiffrement avec les personnes avec lesquelles vous discutez. Cette procédure s’appelle Vérification de la clé de contact (dans iMessage), Numéros de sécurité (dans Signal), Code de sécurité (dans WhatsApp) et Clé de chiffrement (dans Telegram), et elle permet de s’assurer que vous discutez avec la bonne personne, en utilisant le bon appareil. Les clés de chiffrement peuvent être vérifiées pour chaque conversation en comparant les codes ou en se rencontrant en face à face.

Protégez-vous contre le piratage de compte en activant l’authentification à deux facteurs. Cette fonctionnalité se présente sous divers noms, comme vérification en deux étapes, code PIN d’enregistrement ou autre, mais l’essentiel reste la même : la connexion au même compte sur un nouvel appareil requiert une étape de vérification supplémentaire.

Formez les personnes avec qui vous discutez. Ce point est essentiel pour les groupes qui discutent de sujets sensibles. Pour ce faire, tous les membres sont tenus de partager et d’observer les règles d’éthique et de sécurité suivantes :

  • Ne pas transmettre d’informations confidentielles
  • Ne pas effectuer de captures d’écran ni d’autres copies d’informations dans la conversation
  • Encourager une culture de la vie privée au sein de la communauté
  • Utiliser judicieusement les paramètres de l’application
  • Désactiver les fonctionnalités de messageries potentiellement risquées

Quelle est l’application de messagerie la plus sécurisée ?

Signal est le leader incontesté de l’étude, mais l’obligation de dévoiler son numéro de téléphone complique quelque peu les choses. Le tableau ci-dessous présente une comparaison des principales caractéristiques de sécurité des applications de messagerie. L’option la plus sûre de chaque ligne est surlignée en vert.

Apple iMessage Meta (FB) Messenger Google Messages Signal Telegram WhatsApp
Chiffrement de bout en bout dans les conversations individuelles Dans certains cas* Type de discussion spéciale Dans certains cas* Toujours Discussions secrètes uniquement Toujours
Chiffrement de bout en bout dans les discussions de groupe Dans certains cas* Type spécial de groupe Dans certains cas* Toujours Jamais Toujours
Protocole de chiffrement vérifié Non Oui Oui Oui Non Oui
Sauvegardes chiffrées Oui, facultatif Aucune sauvegarde Non Oui, activé par défaut Aucune sauvegarde Oui, facultatif
Comparaison manuelle des clés de chiffrement Oui Oui Non Oui Oui Oui
Inscription sans numéro de téléphone Oui Oui (compliqué) Non Non Non Non
Masquage du numéro de téléphone des contacts Oui Oui Non Non Oui Non
Liens avec d’autres services ou comptes Oui Oui Non Non Non Oui
Masquage des métadonnées** Partiel Partiel Partiel Oui Partiel Partiel
Stockage des métadonnées** Oui Oui Oui Non Oui Oui
Messages autodestructibles Non Cinq secondes ou plus Non Une seconde ou plus Une seconde ou plus 24 heures ou plus et visualisation unique
Désactivation des aperçus de lien Non Non Non Oui Discussions secrètes uniquement Non
Blocage des captures d’écran Non Non Non Oui Discussions secrètes uniquement Non
Alerte de capture d’écran Non Oui Non Non Non Non
* Disponible tant que toutes les parties utilisent la même plateforme (iOS ou Android) et les paramètres d’application appropriés.
** Paramètres de confidentialité pour éviter de montrer partiellement ou intégralement aux autres utilisateurs les métadonnées suivantes : la photo de l’utilisateur, les autres contacts de l’utilisateur, les associations à des conversations ou à des groupes, l’adresse IP et les heures de conversations.
Le tableau repose sur les données du rapport Qu’est-ce que la sécurité ?

 

Conseils