À la lumière de la controverse autour des plans d’attaque américains partagés sur le signal, la sécurité des applications de messagerie est fermement sous les projecteurs.
PUBLICITÉEn seulement trois jours, le secrétaire américain à la Défense, Pete Hegseth, s’est vanté à la télévision nationale que l’Amérique « ne ressemblait plus à des imbéciles », il est apparu qu’il faisait partie d’un groupe de hauts fonctionnaires qui ont envoyé par inadvertance des plans pour une attaque au Yémen à un journaliste.
Hegseth, aux côtés du vice-président JD Vance, secrétaire d’État Marco Rubio, conseiller à la sécurité nationale Michael Waltz, et d’autres, avait utilisé le signal de la plate-forme de messagerie pour discuter des informations très sensibles et classifiées.
Les législateurs démocrates ont rapidement condamné cela comme une violation de sécurité « flagrante », et le président Donald Trump a dit qu’il ne savait « rien », car son équipe a affirmé qu’un « pépin » était à blâmer pour l’ajout du journaliste Jeffrey Goldberg à une chaîne de messages nommée « Houthi PC en petit groupe ».
Bien que cryptée et techniquement sécurisée, la plate-forme est « pleine de risques » liées à des erreurs humaines et à des logiciels espions, et n’était pas le choix approprié pour une telle conversation, soutient Callum Voge, directrice des affaires gouvernementales et du plaidoyer de la société Internet.
« Les gouvernements ont des protocoles spécifiques pour protéger les informations classifiées, et ces protocoles indiquent généralement que les informations classifiées ne peuvent être partagées que dans certaines conditions. Ainsi, lorsque les gens disent que le signal n’est pas approprié pour partager les secrets d’état, il ne s’agit pas seulement de signal – il s’agit de toute application de messagerie de consommation. Que ce soit à L’Observatoire de l’Europe, à Signal.
Un danger clé est que le signal est disponible pour le grand public et utilisé par des millions dans le monde.
« N’importe qui dans le monde peut créer un compte de signal. Ainsi, par exemple, quelqu’un sans autorisation de sécurité pourrait être accidentellement ajouté à un chat de groupe. C’est une façon dont les secrets pourraient être divulgués – par accident, une erreur humaine ou exprès », a ajouté Voge.
« De plus, le signal est utilisé sur les appareils personnels. Cela introduit le risque de logiciel espion – un logiciel qui peut enregistrer ce qui se passe sur votre appareil en temps réel et l’envoyer à un tiers. Donc, même si le signal est l’application la plus sécurisée au monde, si votre téléphone a des logiciels espions, c’est toujours une fuite ».
Avertissements Le signal était une cible pour les pirates
En fait, le Pentagone a publié une note de service à l’échelle du département quelques jours après la fuite de chat des groupes de signaux, avertissant que les groupes de piratage professionnel russes visaient activement l’application.
Selon le mémo, les attaquants exploitaient la fonctionnalité « Appareils liés » du signal – une fonction légitime qui permet aux utilisateurs d’accéder à leur compte sur plusieurs appareils – pour espionner des conversations cryptées.
« L’efficacité du signal dépend de la sécurité de l’appareil utilisé. C’est comme installer le système d’alarme le plus sécurisé dans une maison sans portes », a noté Gustavo Alito, un expert en cybersécurité à Equans Belux.
« Si un appareil est compromis – que ce soit via des logiciels malveillants, un accès non autorisé ou des logiciels espions sophistiqués comme Pegasus – le chiffrement devient sans importance. Les attaquants peuvent surveiller et capturer toute l’activité de l’appareil en temps réel, y compris les messages en cours de rédaction », a-t-il déclaré à L’Observatoire de l’Europe ensuite.
« Un développement surprenant dans ce cas est que les rapports indiquent que le signal a été préinstallé sur les dispositifs du gouvernement américain. Bien que cela suggère une pression institutionnelle pour la communication cryptée, cela soulève également des préoccupations », a ajouté Alito.
« Le fait que Signal ait été rendu largement disponible a peut-être conduit les fonctionnaires à supposer qu’il a été approuvé pour des discussions classifiées, malgré les avertissements de la NSA et du Département de la défense contre l’utiliser pour des questions sensibles ».
Signal, WeChat, WhatsApp, Telegram: Quelle est la plate-forme la plus sécurisée?
Dans l’extrémité inférieure du spectre, où les messages sont les plus vulnérables, se trouvent des plates-formes qui manquent de cryptage de bout en bout ou ne l’activent pas par défaut.
PUBLICITÉSelon Voge, « cela signifie qu’il est chiffré du point de terminaison au point de terminaison. Donc, par exemple, un point de terminaison est votre téléphone et l’autre est le mien – et comme la conversation ou le texte va et vient entre nous, aucun tiers ne peut le décrypter, pas même le fournisseur ».
Des applications comme WeChat, par exemple, n’offrent pas de chiffrement de bout en bout, ce qui signifie que les messages peuvent potentiellement être accessibles par le fournisseur de services ou les autorités gouvernementales – une préoccupation majeure dans des pays comme la Chine.
De même, Telegram ne crypte pas les chats de groupe ou même les chats individuels par défaut; Les utilisateurs doivent activer manuellement les « chats secrètes » pour une protection de bout en bout. Pour cette raison, les messages sur ces plateformes sont plus susceptibles de l’interception.
À l’extrémité haute sécurité se trouvent des applications comme Signal, WhatsApp, et dans une mesure limitée, iMessage, qui offrent toutes un cryptage de bout en bout par défaut.
PUBLICITÉParmi eux, Signal se distingue de son protocole open source, de sa gouvernance à but non lucratif, de sa rétention minimale de métadonnées et du chiffrement par défaut entre les messages, les appels et les chats de groupe.
WhatsApp, bien que également chiffré à l’aide du protocole de Signal, appartient à Meta et conserve plus de métadonnées, que certains considèrent comme une vulnérabilité potentielle. iMessage est considéré comme techniquement sécurisé, mais c’est un système à source fermée uniquement, qui limite la transparence et l’audit.
Ainsi, le signal est largement considéré par les experts comme l’étalon-or pour la messagerie cryptée, mais, comme nous venons de le voir, il n’est pas à l’abri des risques résultant d’une erreur de l’utilisateur, d’un compromis de dispositif ou d’une mauvaise utilisation dans des contextes nécessitant des protocoles de communication classifiés.
« Comme toute entreprise, Signal vérifie régulièrement d’autres parties de leur application – comme la façon dont les utilisateurs vérifient leurs numéros de téléphone ou ajoutent de nouveaux appareils. Parfois, les problèmes se présentent, et ils répondent avec des correctifs de sécurité, qu’ils publient sur leur site Web avec des détails », a déclaré Voge.
PUBLICITÉ« Vous avez peut-être entendu parler d’une vulnérabilité récente impliquant la Russie. Il s’agissait d’une attaque de phishing utilisée en Ukraine: les attaquants ont envoyé de faux codes QR pour inciter les gens à rejoindre des groupes de signaux. Lorsque quelqu’un a scanné le code, il a lié un nouvel appareil à son compte – le détournant efficacement », a-t-il poursuivi.
« Ce n’était pas un défaut dans le protocole de chiffrement, mais dans la façon dont le signal géré par le signal a répondu avec une mise à jour – maintenant, si vous souhaitez lier un nouvel appareil, vous avez besoin de Face ID ou de contact tactile ».
Quelle est la meilleure façon de envoyer un message en toute sécurité?
Alors, que devrait-il faire à la place Hegseth, Vance, Waltz et le reste du petit groupe Houthi PC?
Le gouvernement américain a presque certainement ses propres systèmes pour gérer les informations classifiées.
PUBLICITÉ« Les représentants du gouvernement devraient généralement utiliser des appareils et des systèmes spéciaux non disponibles au public. Vous pourriez imaginer une plate-forme que seuls les responsables du gouvernement peuvent télécharger, et peut-être même des niveaux de classification construits – comme Confidentiel, Secret et Top Secret », a déclaré Voge.
En effet, il imagine « un cadre gouvernemental dans lequel les fonctionnaires se rendent dans une pièce sécurisée, laissent leurs appareils personnels derrière et utilisent un ordinateur spécial qui n’est pas connecté à Internet pour accéder aux informations sensibles ».
« Puisque les gens voyagent, il existe probablement des réseaux ou des applications gouvernementales uniquement accessibles aux responsables utilisant des appareils fournis par le gouvernement. Ces systèmes ne seraient pas disponibles au public, et ont probablement des moyens intégrés de gérer les niveaux de classification », a-t-il ajouté.
Ou, comme le dit Alito, « un système crypté de bout en bout approuvé par le gouvernement conçu spécifiquement pour les communications classifiées. Des plateformes sécurisées telles que le protocole d’interopérabilité des communications sécurisées de la NSA (SCIP) ou les réseaux classifiés tels que SIPRNET et JWIC sont plus alignés sur la sécurité et la caractéristique de la sécurité d’une organisation gouvernementale ».
PUBLICITÉLe système devrait également permettre de conserver des enregistrements de conversations, ce qui est lié aux lois sur la tenue des registres.
« Certains gouvernements exigent que les décideurs politiques conservent un enregistrement de leurs messages ou de leurs e-mails. Mais le signal a des fonctionnalités telles que la disparition des messages. Donc, si les responsables gouvernementaux l’utilisent, ce dossier de communication pourrait être perdu, ce qui peut aller à l’encontre des lois sur la transparence ou la responsabilité », a déclaré Voge.
