•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Les applications de messagerie chiffrée, loin d'être infaillibles

Un dessin montrant deux écrans d'ordinateurs face à face. Une main sort de chaque écran. Les deux mains tiennent la même enveloppe rouge, au centre. L'enveloppe est ouverte et laisse entrevoir une feuille de papier sur laquelle est imprimée une clef rouge.

Il est impossible de garantir la sécurité des applications de messagerie chiffrée, estime Benoît Dupont.

Photo : iStock

Radio-Canada

Armes de chantage pour les pirates, outils d'enquête essentiels pour les policiers, les réseaux sociaux en révèlent beaucoup sur notre vie privée. Certains se tournent donc vers les applications de messagerie chiffrées pour échanger des informations confidentielles. Mais ces outils sont-ils vraiment une panacée? Rien n'est moins sûr, affirme Benoît Dupont, directeur scientifique du Réseau intégré sur la cybersécurité et titulaire de la Chaire de recherche du Canada en cybersécurité.

Un texte de Karl-Philip Vallée

KPV : Est-ce qu’on devrait tous chiffrer nos conversations?

BP : A priori, je pense que oui, parce que ça rend les interceptions des contenus plus difficiles, que ce soit par des gens malveillants ou par les plateformes de médias sociaux. Ces dernières nous donnent tout un tas d’outils gratuits, mais on se rend compte que, dans certains cas, ils vont aussi se servir de cette gratuité pour analyser nos contenus.

À un certain niveau de base, je pense que c’est préférable que tout le monde utilise les conversations chiffrées, surtout qu’aujourd’hui, il y a pas mal d’offres, c’est assez robuste et c’est assez facile d’emploi.

KPV : Certaines personnes peuvent avoir l’impression qu’elles sont à l’abri de tout avec les applications de messagerie chiffrée comme Signal ou Telegram. Sont-elles infaillibles?

BP : Non, bien au contraire! C’est là qu’il y a une petite nuance à apporter. Ces applications sont utiles si vous êtes un utilisateur de base et que vous voulez juste protéger vos conversations ordinaires. Ces conversations ont très peu d’importance pour la sécurité nationale ou pour la sécurité tout court si vous n’êtes pas un criminel, si vous n’avez pas d’informations confidentielles et si vous n’êtes pas un lanceur d’alertes. [Pour des conversations ordinaires], vous êtes suffisamment bien protégé.

Par contre, si vous êtes dans la situation de Paul Manafort aux États-Unis ou d’autres personnes de la campagne électorale de Trump dont les téléphones ont été saisis, vous ne devriez vraiment pas penser que, parce que vous avez l’une de ces applications, toutes vos conversations sont protégées avec une garantie totale.

KPV : Pourquoi?

BP : Comme on l’a vu avec l’enquête Mueller, il y a plein de points de compromission possibles, même quand vous utilisez une application chiffrée.

Quand vous utilisez une application chiffrée, ce qui est chiffré, c’est le transport de communications entre votre appareil et celui du destinataire. Entre les deux appareils, si c’est intercepté, c’est très compliqué de déchiffrer le contenu. Toutefois, la communication est déchiffrée sur les machines de l’émetteur et du destinataire.

Si l’une ou l’autre de ces personnes a mal paramétré son application, si elle a choisi de sauvegarder le contenu dans le nuage, si elle a choisi un mot de passe faible pour en protéger l’accès, si elle a fait une capture d’écran, si elle a synchronisé l’application sur plusieurs appareils, ça devient de nouveaux points à partir desquels des enquêteurs ou des personnes malveillantes peuvent accéder au contenu.

Ce n’est pas parce que c’est chiffré que c’est protégé à 100 %. Le chiffrement, c’est une partie de l’équation qui va vous aider à protéger vos communications, mais pour les protéger avec une certaine garantie de vie privée, ça prend beaucoup plus d’efforts, et c’est beaucoup plus compliqué à mettre en œuvre pour le commun des mortels. D’ailleurs, je ne le recommanderais pas, parce que même les experts n’y arrivent pas. À moins que vous soyez complètement parano… et même là, vous allez faire des erreurs.

KPV : Pourquoi, selon vous, des entreprises comme Facebook, qui sont capables de chiffrer les messages, ne font-elles pas en sorte que toutes les conversations privées soient chiffrées?

BP : Mon hypothèse, c’est que plus elles chiffrent, plus elles offrent de protection, mais plus ça devient compliqué pour elles d’analyser les données de leurs utilisateurs et d’en tirer un profit. Et quelque part, ça reste quand même des entreprises dont le modèle d’affaires est basé sur la capacité d’analyser les données de leurs utilisateurs pour les revendre à des fins publicitaires.

Si Facebook ou Google appliquent ces solutions de chiffrement, c’est la fin pour eux. Leur intérêt n’est pas de le faire par défaut pour tous les utilisateurs.

KPV : Est-ce que, au cours de vos recherches, vous avez trouvé des applications de conversations chiffrées que vous recommanderiez aux gens d’utiliser?

Personnellement, je ne fais confiance à aucune de ces applications, parce que, si j’ai vraiment des données confidentielles, je ne vais pas les utiliser. Il vaut mieux utiliser un appel téléphonique. C’est certainement beaucoup plus sécurisé.

Benoît Dupont, titulaire de la Chaire de recherche du Canada en Cybersécurité

BP : Je dirais que Signal est probablement celle dont on pourrait penser qu’elle offre le moins de risques de compromettre la sécurité de ses utilisateurs, parce qu’elle est complètement indépendante. D’un autre côté, c’est difficile d'affirmer ça avec beaucoup de confiance, parce que c’est très difficile d’auditer le code de ces applications, de savoir comment leurs serveurs fonctionnent. Ne gardent-elles vraiment aucune donnée?

Cybersécurité

Techno