Elles bousculent la sécurité des entreprises

Le succès d’une application de messagerie instantanée débute souvent dans une cour d’école et finit entre les mains… de PDG. De plus en plus de collaborateurs échangent des invitations, des images, mais aussi parfois des informations confidentielles sur WhatsApp, Telegram, Signal. Quelle stratégie adopter face à ce phénomène ?

L’affaire a été révélée en décembre dernier par le New York Times. L’application de messagerie ToTok a été retirée de l’Apple Store et de Google Play après que le renseignement américain a estimé qu’il s’agissait en fait d’un logiciel d’espionnage au profit des services des Émirats Arabes Unis. L’histoire peut paraître anecdotique mais entre les failles de sécurité, les suspicions d’écoutes et pratiques quelquefois douteuses des éditeurs visà-vis des données qu’ils hébergent, les alertes se sont multipliées ces derniers mois.

Dernièrement, soulignant les liens entre les développeurs de l’application TikTok et le gouvernement chinois, un sénateur américain a demandé le bannissement de l’application auprès des employés fédéraux, soulignant que, outre les énormes volumes de données qui transitent sur la plate-forme de l’application, une géolocalisation des employés du gouvernement américain représentait déjà un risque de sécurité majeur pour les États-Unis. On se souvient aussi des photos Snapchat qui, contrairement au principe même de l’application, restaient bel et bien stockées sur les serveurs. Même Telegram qui avait l’image de messagerie ultra-sécurisé laissait fuiter les adresses IP de ses utilisateurs via sa version desktop…

Il y a quelques mois, WhatsApp, application qui compte 2 milliards d’utilisateurs, était victime d’une opération d’espionnage ciblée par des opérateurs étatiques, notamment l’Israélien NSO Group, société de cybersurveillance «offensive ». Une attaque suffisamment sérieuse pour que WhatsApp porte plainte contre cette société israélienne.

Fini l’eMail, les échanges migrent massivement vers les apps
Ces incidents sont le reflet de l’intérêt croissant porté par les services d’espionnage pour ces applications de messagerie instantanée. Alors que les États ont mis en place des moyens conséquents pour intercepter le trafic des e-mails, ces applications sécurisées sont devenues une priorité pour les agences car on assiste à un important report des communications vers ce type d’applications.

« Ces systèmes de messagerie vantent leur sécurité et la confidentialité des échanges, mais aucune entreprise n’est en capacité de contrôler réellement le niveau de sécurité qu’elles offrent », souligne Gérôme Billois, Partner chez Wavestone. « WhatsApp par exemple, met en avant son chiffrement de bout en bout, or il est possible retrouver des groupes de discussion mal paramétrés via Google et les intégrer parfois sans même devoir être accepté par les membres du groupe. » L’expert en cybersécurité souligne que ces applications s’appuient généralement sur un serveur centralisé sur lequel on commence par télécharger son carnet d’adresses. L’utilisateur y est poussé car cela lui permet de voir qui, parmi ses contacts a déjà installé l’application. Cette centralisation est bien évidemment une aubaine pour les services de renseignement de tous poils car même si le serveur ne voit pas le contenu des messages si le chiffrement de bout en bout est bien implémenté, celui-ci dispose déjà de métadonnées intéressantes sur les échanges entre ses membres.

Il existe bien une poignée d’applications de messaging en Peer to Peer comme Beechat, Sylo, ou même des apps s’appuyant sur une blockchain comme Dust, e-Chat ou Sense.chat, mais aucune ne parvient à réellement s’imposer.

La start-up française Olvid (lire L’Informaticien n°184, p. 44) propose une nouvelle approche qui corrige les contraintes du peer-to-peer mais sans mettre en œuvre d’annuaire centralisé, véritable talon d’Achille des systèmes de type WhatsApp : « Le chiffrement de bout en bout est une promesse extraordinaire en termes de sécurité, mais l’architecture centralisée signifie que la plateforme joue le rôle de tiers de confiance pour l’ensemble des utilisateurs puisque c’est elle qui distribue les clés publiques lors de la création des conversations », explique Thomas Baignères, co-fondateur d’Olvid. « De notre point de vue cela n’a aucun sens en termes d’architecture de sécurité car la plate-forme a potentiellement la possibilité de manipuler l’identité d’un membre, se faire passer pour quelqu’un d’autre.»

La start-up a implémenté une nouvelle technique d’échange de clefs basée sur le protocole SAS (Short Authentication String) qui permet de se passer d’annuaire. Son application est disponible sur les App Store pour le grand public depuis le mois de juin et compte à ce jour 10000 utilisateurs. Olvid souhaite proposer sa solution aux entreprises très prochainement.