Quand les apps de messagerie bousculent la sécurité des entreprises
Le succès d’une application de messagerie instantanée débute souvent dans une cour d’école et finit entre les mains… de PDG. De plus en plus de collaborateurs échangent des invitations, des images, mais aussi parfois des informations confidentielles sur Whatsapp, Telegram, Signal. Quelle stratégie adopter face à ce phénomène ?
New souvient aussi des photos Snapchat qui, contrairement au principe même de l’application, restaient bel et bien stockées sur les serveurs. Même Telegram qui avait l’image de messagerie ultra- sécurisé laissait fuiter les adresses IP de ses utilisateurs via sa version desktop…
Il y a quelques mois, Whatsapp, application qui compte 2 milliards d’utilisateurs, était victime d’une opération d’espionnage ciblée par des opérateurs étatiques, notamment l’israélien NSO Group, société de cybersurveillance « offensive » . Une attaque suffisamment sérieuse pour que Whatsapp porte plainte contre cette société israélienne.
Fini l’email, les échanges migrent massivement vers les apps
Ces incidents sont le reflet de l’intérêt croissant porté par les services d’espionnage pour ces applications de messagerie instantanée. Alors que les États ont mis en place des moyens
conséquents pour intercepter le trafic des e- mails, ces applications sécurisées sont devenues une priorité pour les agences car on assiste à un important report des communications vers ce type d’applications.
« Ces systèmes de messagerie vantent leur sécurité et la confidentialité des échanges, mais aucune entreprise n’est en capacité de contrôler réellement le niveau de sécurité qu’elles offrent » , souligne Gérôme Billois, Partner chez Wavestone. « Whatsapp par exemple, met en avant son chiffrement de bout en bout, or il est possible retrouver des groupes de discussion mal paramétrés via Google et les intégrer parfois sans même devoir être accepté par les membres du groupe. » L’expert en cybersécurité souligne que ces applications s’appuient généralement sur un serveur centralisé sur lequel on commence par télécharger son carnet d’adresses. L’utilisateur y est poussé car cela lui permet de voir qui, parmi ses contacts a déjà installé l’application. Cette centralisation est bien évidemment une aubaine pour les services de renseignement de tous poils car même si le serveur ne voit pas le contenu des messages si le chiffrement de bout en bout est bien implémenté, celui- ci dispose déjà de métadonnées intéressantes sur les échanges entre ses membres. Il existe bien une poignée d’applications de messaging en Peer to Peer comme Beechat, Sylo, ou même des apps s’appuyant sur une blockchain comme Dust, e- Chat ou Sense. chat, mais aucune ne parvient à réellement s’imposer.
La start- up française Olvid ( lire L’informaticien n° 184, p. 44) propose une nouvelle approche qui corrige les contraintes du peer- to- peer mais sans mettre en oeuvre d’annuaire centralisé, véritable talon d’achille des systèmes de type Whatsapp : « Le chiffrement de bout en bout est une « Les responsables de la sécurité apprennent bien souvent que leur comité de direction a migré sur Telegram plusieurs jours, voire semaines, après coup. Les dirigeants se sont mis à créer des boucles Telegram, avec l’idée d’utiliser une application soi- disant sécurisée pour communiquer entre membres du Comex. Par rapport aux solutions sécurisées que peut leur proposer leur CISO, l’image jeune et le côté très addictif de ces applications font la différence. Il est ensuite très difficile pour le CISO de demander à son Comex de faire machine arrière. » promesse extraordinaire en termes de sécurité, mais l’architecture centralisée signifie que la plateforme joue le rôle de tiers de confiance pour l’ensemble des utilisateurs puisque c’est elle qui distribue les clés publiques lors de la création des conversations » , explique Thomas Baignères, co- fondateur d’olvid. « De notre point de vue cela n’a aucun sens en termes d’architecture de sécurité car la plate- forme a potentiellement la possibilité de manipuler l’identité d’un membre, se faire passer pour quelqu’un d’autre. »
La start- up a implémenté une nouvelle technique d’échange de clefs basée sur le protocole SAS ( Short Authentication String) qui permet de se passer d’annuaire. Son application est disponible sur les App Store pour le grand public depuis le mois de juin et compte à se jour 10 000 utilisateurs. Olvid souhaite proposer sa solution aux entreprises très prochainement.
propre application de messagerie chiffrée, Tchap. L’objectif était de maîtriser l’intégralité de la solution pour s’assurer de son niveau de confiance. « Tchap correspond à une logique de système maîtrisé » , souligne Gérôme Billois, « On sait par qui il est développé, qui l’héberge, qui opère la plateforme. Ce type d’approche permet d’atteindre un haut niveau de confiance si on veut se protéger de services étrangers notamment. En revanche, cette approche a aussi montré qu’elle n’était pas exempte de tout défaut et qu’il y a des failles dans toutes les applications et que l’éditeur doit être très actif à pouvoir y répondre. »
En entreprise, le CISO va devoir s’armer de beaucoup de courage pour interdire à son Comex d’utiliser ces applications directement venues du grand public. Pourtant des solutions typées entreprises existent depuis des années, à commencer par Blackberry BBM, mais aussi la messagerie Cryptopass et Cryptosmart d’ercom ( Thales), Citadel édité par Thales ou encore le fameux téléphone sécurisé Teorem de Thales, notamment utilisé dans les plus hautes sphères de l’état français. Ces applications et ces smartphones blindés qu’il s’agisse du Teorem ou de son rival Hoox d’atos, constituent l’arme quasi ultime pour éviter toute fuite de données et pourtant… personne n’en veut. L’image d’un Emmanuel Macron au début de son quinquennat utilisant son iphone plutôt que son Teorem officiel a fait le tour du Web. Les utilisateurs leur préfèrent bien souvent les applications à la mode dont tout le monde parle. « Si ces solutions professionnelles sont, par nature, préférables pour les entreprises qui souhaitent garder la maîtrise de leur sécurité, ces applications ne parviennent pas à rivaliser du point de vue ergonomie » , souligne Loïc Guézo, secrétaire général du Clusif. Une nouvelle génération d’apps fera- telle changer d’avis les utilisateurs ? ✖