La protection par chiffrement des échanges : deux protocoles distincts
La principale protection des messageries instantanées repose sur le chiffrement des échanges entre les interlocuteurs (appelés les « extrémités »).
Chaque messagerie utilise l’un des deux protocoles existants, qui n’offrent pas la même qualité de protection.
- Le chiffrement « de bout en bout » entre les extrémités est utilisé par WhatsApp, Signal, Telegram (Secret Chats), i-Message (entre terminaux Apple).
Les messages sont chiffrés sur l'appareil de l'expéditeur et ne seront déchiffrés que sur l'appareil du destinataire, via un processus d’échanges de clés privée/publique.
Ce protocole est le plus sécurisé : seuls les participants à une conversation peuvent lire les messages échangés, ce qui en accroît la confidentialité. Même le fournisseur de services de messagerie ne peut pas lire les messages.
- Le chiffrement « en transit » via un serveur relais est utilisé par Facebook Messenger et Instagram Direct.
Les messages déchiffrés entre les appareils et les serveurs peuvent être lus par le fournisseur de services avant d’être rechiffrés vers le destinataire, car seuls les segments entre les extrémités et le serveur sont chiffrés.
Les messageries plus particulièrement utilisées en milieu professionnel (Microsoft Teams par exemple) offrent des fonctionnalités de sécurité avancées, notamment grâce à une veille sur les vulnérabilités et des corrections bien assurées.
Chaque messagerie utilise l’un des deux protocoles existants, qui n’offrent pas la même qualité de protection.
- Le chiffrement « de bout en bout » entre les extrémités est utilisé par WhatsApp, Signal, Telegram (Secret Chats), i-Message (entre terminaux Apple).
Les messages sont chiffrés sur l'appareil de l'expéditeur et ne seront déchiffrés que sur l'appareil du destinataire, via un processus d’échanges de clés privée/publique.
Ce protocole est le plus sécurisé : seuls les participants à une conversation peuvent lire les messages échangés, ce qui en accroît la confidentialité. Même le fournisseur de services de messagerie ne peut pas lire les messages.
- Le chiffrement « en transit » via un serveur relais est utilisé par Facebook Messenger et Instagram Direct.
Les messages déchiffrés entre les appareils et les serveurs peuvent être lus par le fournisseur de services avant d’être rechiffrés vers le destinataire, car seuls les segments entre les extrémités et le serveur sont chiffrés.
Les messageries plus particulièrement utilisées en milieu professionnel (Microsoft Teams par exemple) offrent des fonctionnalités de sécurité avancées, notamment grâce à une veille sur les vulnérabilités et des corrections bien assurées.
Les vulnérabilités des logiciels
Quel que soit le protocole de chiffrement utilisé, des vulnérabilités génériques ou particulières sont possibles.
- Pour toutes les messageries, des vulnérabilités logicielles ou failles de sécurité dans les applications elles-mêmes peuvent être exploitées par des hackers pour accéder aux messages ou aux données des utilisateurs. Des fuites de données comme les horodatages, les destinataires... peuvent être collectées et analysées, même si le contenu des messages est chiffré. Mais surtout, les intrus peuvent utiliser des techniques d'ingénierie sociale pour vous inciter à divulguer des informations sensibles ou à installer des logiciels malveillants.
- Les messageries ne chiffrant pas de bout en bout les échanges exposent à des risques supplémentaires tels que l’interception des messages par des tiers (y compris les fournisseurs de services), ou encore l’interception des communications en se faisant passer pour l'un des interlocuteurs, surtout si le chiffrement n'est pas correctement implémenté.
- Pour toutes les messageries, des vulnérabilités logicielles ou failles de sécurité dans les applications elles-mêmes peuvent être exploitées par des hackers pour accéder aux messages ou aux données des utilisateurs. Des fuites de données comme les horodatages, les destinataires... peuvent être collectées et analysées, même si le contenu des messages est chiffré. Mais surtout, les intrus peuvent utiliser des techniques d'ingénierie sociale pour vous inciter à divulguer des informations sensibles ou à installer des logiciels malveillants.
- Les messageries ne chiffrant pas de bout en bout les échanges exposent à des risques supplémentaires tels que l’interception des messages par des tiers (y compris les fournisseurs de services), ou encore l’interception des communications en se faisant passer pour l'un des interlocuteurs, surtout si le chiffrement n'est pas correctement implémenté.
Dans tous les cas, que faire pour minimiser les risques ?
En suivant ces recommandations, vous pouvez améliorer la sécurité de vos communications via les messageries instantanées et minimiser les risques.
> Privilégier les applications qui offrent le chiffrement de bout en bout par défaut.
> Mettre à jour les applications avec les dernières mises à jour de sécurité.
> Utiliser des mots de passe forts et l'authentification à plusieurs facteurs qui ajoute une sécurité aux transactions en ligne via les paramètres de sécurité de votre compte en ligne.
Cela peut impliquer de fournir votre numéro de téléphone pour recevoir des SMS ou de télécharger une application d'authentification. Vous devrez ensuite confirmer votre deuxième facteur en entrant le code reçu.
> Ne pas cliquer sur des liens suspects et ne pas télécharger de pièces jointes provenant de sources inconnues.
> Configurer les paramètres de confidentialité et les ajuster pour limiter l'accès aux informations personnelles et contrôler qui peut vous contacter.
> Utiliser des réseaux sécurisés, ou à défaut privilégier le recours à la 5G/4G, et éviter d'utiliser les réseaux Wi-Fi publics pour accéder à vos messageries instantanées ou, pire, à votre banque.
Président de la Commission systèmes d’information
