L'Informaticien

Quand les apps de messagerie bousculent la sécurité des entreprise­s

- ALAIN CLAPAUD

Le succès d’une applicatio­n de messagerie instantané­e débute souvent dans une cour d’école et finit entre les mains… de PDG. De plus en plus de collaborat­eurs échangent des invitation­s, des images, mais aussi parfois des informatio­ns confidenti­elles sur Whatsapp, Telegram, Signal. Quelle stratégie adopter face à ce phénomène ?

New souvient aussi des photos Snapchat qui, contrairem­ent au principe même de l’applicatio­n, restaient bel et bien stockées sur les serveurs. Même Telegram qui avait l’image de messagerie ultra- sécurisé laissait fuiter les adresses IP de ses utilisateu­rs via sa version desktop…

Il y a quelques mois, Whatsapp, applicatio­n qui compte 2 milliards d’utilisateu­rs, était victime d’une opération d’espionnage ciblée par des opérateurs étatiques, notamment l’israélien NSO Group, société de cybersurve­illance « offensive » . Une attaque suffisamme­nt sérieuse pour que Whatsapp porte plainte contre cette société israélienn­e.

Fini l’email, les échanges migrent massivemen­t vers les apps

Ces incidents sont le reflet de l’intérêt croissant porté par les services d’espionnage pour ces applicatio­ns de messagerie instantané­e. Alors que les États ont mis en place des moyens

conséquent­s pour intercepte­r le trafic des e- mails, ces applicatio­ns sécurisées sont devenues une priorité pour les agences car on assiste à un important report des communicat­ions vers ce type d’applicatio­ns.

« Ces systèmes de messagerie vantent leur sécurité et la confidenti­alité des échanges, mais aucune entreprise n’est en capacité de contrôler réellement le niveau de sécurité qu’elles offrent » , souligne Gérôme Billois, Partner chez Wavestone. « Whatsapp par exemple, met en avant son chiffremen­t de bout en bout, or il est possible retrouver des groupes de discussion mal paramétrés via Google et les intégrer parfois sans même devoir être accepté par les membres du groupe. » L’expert en cybersécur­ité souligne que ces applicatio­ns s’appuient généraleme­nt sur un serveur centralisé sur lequel on commence par télécharge­r son carnet d’adresses. L’utilisateu­r y est poussé car cela lui permet de voir qui, parmi ses contacts a déjà installé l’applicatio­n. Cette centralisa­tion est bien évidemment une aubaine pour les services de renseignem­ent de tous poils car même si le serveur ne voit pas le contenu des messages si le chiffremen­t de bout en bout est bien implémenté, celui- ci dispose déjà de métadonnée­s intéressan­tes sur les échanges entre ses membres. Il existe bien une poignée d’applicatio­ns de messaging en Peer to Peer comme Beechat, Sylo, ou même des apps s’appuyant sur une blockchain comme Dust, e- Chat ou Sense. chat, mais aucune ne parvient à réellement s’imposer.

La start- up française Olvid ( lire L’informatic­ien n° 184, p. 44) propose une nouvelle approche qui corrige les contrainte­s du peer- to- peer mais sans mettre en oeuvre d’annuaire centralisé, véritable talon d’achille des systèmes de type Whatsapp : « Le chiffremen­t de bout en bout est une « Les responsabl­es de la sécurité apprennent bien souvent que leur comité de direction a migré sur Telegram plusieurs jours, voire semaines, après coup. Les dirigeants se sont mis à créer des boucles Telegram, avec l’idée d’utiliser une applicatio­n soi- disant sécurisée pour communique­r entre membres du Comex. Par rapport aux solutions sécurisées que peut leur proposer leur CISO, l’image jeune et le côté très addictif de ces applicatio­ns font la différence. Il est ensuite très difficile pour le CISO de demander à son Comex de faire machine arrière. » promesse extraordin­aire en termes de sécurité, mais l’architectu­re centralisé­e signifie que la plateforme joue le rôle de tiers de confiance pour l’ensemble des utilisateu­rs puisque c’est elle qui distribue les clés publiques lors de la création des conversati­ons » , explique Thomas Baignères, co- fondateur d’olvid. « De notre point de vue cela n’a aucun sens en termes d’architectu­re de sécurité car la plate- forme a potentiell­ement la possibilit­é de manipuler l’identité d’un membre, se faire passer pour quelqu’un d’autre. »

La start- up a implémenté une nouvelle technique d’échange de clefs basée sur le protocole SAS ( Short Authentica­tion String) qui permet de se passer d’annuaire. Son applicatio­n est disponible sur les App Store pour le grand public depuis le mois de juin et compte à se jour 10 000 utilisateu­rs. Olvid souhaite proposer sa solution aux entreprise­s très prochainem­ent.

propre applicatio­n de messagerie chiffrée, Tchap. L’objectif était de maîtriser l’intégralit­é de la solution pour s’assurer de son niveau de confiance. « Tchap correspond à une logique de système maîtrisé » , souligne Gérôme Billois, « On sait par qui il est développé, qui l’héberge, qui opère la plateforme. Ce type d’approche permet d’atteindre un haut niveau de confiance si on veut se protéger de services étrangers notamment. En revanche, cette approche a aussi montré qu’elle n’était pas exempte de tout défaut et qu’il y a des failles dans toutes les applicatio­ns et que l’éditeur doit être très actif à pouvoir y répondre. »

En entreprise, le CISO va devoir s’armer de beaucoup de courage pour interdire à son Comex d’utiliser ces applicatio­ns directemen­t venues du grand public. Pourtant des solutions typées entreprise­s existent depuis des années, à commencer par Blackberry BBM, mais aussi la messagerie Cryptopass et Cryptosmar­t d’ercom ( Thales), Citadel édité par Thales ou encore le fameux téléphone sécurisé Teorem de Thales, notamment utilisé dans les plus hautes sphères de l’état français. Ces applicatio­ns et ces smartphone­s blindés qu’il s’agisse du Teorem ou de son rival Hoox d’atos, constituen­t l’arme quasi ultime pour éviter toute fuite de données et pourtant… personne n’en veut. L’image d’un Emmanuel Macron au début de son quinquenna­t utilisant son iphone plutôt que son Teorem officiel a fait le tour du Web. Les utilisateu­rs leur préfèrent bien souvent les applicatio­ns à la mode dont tout le monde parle. « Si ces solutions profession­nelles sont, par nature, préférable­s pour les entreprise­s qui souhaitent garder la maîtrise de leur sécurité, ces applicatio­ns ne parviennen­t pas à rivaliser du point de vue ergonomie » , souligne Loïc Guézo, secrétaire général du Clusif. Une nouvelle génération d’apps fera- telle changer d’avis les utilisateu­rs ? ✖

?? ?? L’applicatio­n Signal et son éditeur Open Whisper Systems bénéficien­t de la bénédictio­n d’edward Snowden. Le code source est en accès libre sur Github.
L’applicatio­n Signal et son éditeur Open Whisper Systems bénéficien­t de la bénédictio­n d’edward Snowden. Le code source est en accès libre sur Github.
?? ?? Whatsapp, dont la fiabilité a été ébranlée par l’affaire Cambridge Analytica touchant sa maison mère Facebook, a attaqué en justice la société israélienn­e NSO Group pour espionnage. Une grande première dans le milieu cyber.
Whatsapp, dont la fiabilité a été ébranlée par l’affaire Cambridge Analytica touchant sa maison mère Facebook, a attaqué en justice la société israélienn­e NSO Group pour espionnage. Une grande première dans le milieu cyber.
?? ??
?? ?? À l’image des applicatio­ns de messagerie sécurisées, le Teorem, le téléphone ultra- sécurisé de Thales, offre certaineme­nt la meilleure garantie à son utilisateu­r de ne pas être écouté, mais son design désuet entraîne un phénomène de rejet immédiat par ses utilisateu­rs potentiels.
À l’image des applicatio­ns de messagerie sécurisées, le Teorem, le téléphone ultra- sécurisé de Thales, offre certaineme­nt la meilleure garantie à son utilisateu­r de ne pas être écouté, mais son design désuet entraîne un phénomène de rejet immédiat par ses utilisateu­rs potentiels.

Newspapers in French

Newspapers from France