Apple

Comment choisir et utiliser une application de messagerie chiffrée – TechCrunch

Par Maximus63 , le 4 août 2019 - 12 minutes de lecture

La messagerie texte existe depuis les débuts de la technologie cellulaire et a déclenché son propre langage. Mais il est temps d’envoyer des SMS réguliers au pâturage.

Si vous avez un iPhone, vous êtes déjà sur votre chemin. Les iPhones (ainsi que les iPad et Mac) utilisent iMessage pour envoyer des messages entre appareils Apple. Il s’agit d’un système de messagerie basé sur des données reposant sur la 3G, la 4G et le Wi-Fi, plutôt que sur la messagerie SMS, qui utilise un ancien réseau cellulaire 2G obsolète mais universel. iMessage a gagné en popularité, mais a laissé les appareils Android et autres ordinateurs dans le noir.

C’est là que d’autres services de messagerie ont comblé une lacune sur le marché.

Des applications comme Signal, WhatsApp, Wire et Wickr sont également basés sur des données et fonctionnent sur plusieurs plates-formes. Mieux encore, ils sont chiffrés de bout en bout, ce qui signifie que les messages envoyés sont embrouillés à l’une des extrémités de la conversation – le périphérique – et déchiffrés à l’autre extrémité sur l’appareil du destinataire. Cela rend quasiment impossible à quiconque – même au fabricant de l’application – de voir ce qui se dit.

De nombreuses applications populaires, telles que Instagram, Skype, Slack et Snapchat n’offrent pas du tout un cryptage. Facebook Messenger a la possibilité d’utiliser une messagerie cryptée de bout en bout «secrète», mais n’est pas activé par défaut.

Voici ce que vous devez savoir.

Pourquoi détester sur la messagerie SMS?

SMS, ou service de messagerie courte, a plus de trois décennies. C’est généralement fiable, mais obsolète, archaïque et coûteux. Il existe également plusieurs raisons pour lesquelles la messagerie SMS n'est pas sécurisée.

Les messages SMS ne sont pas cryptés, ce qui signifie que le contenu de chaque message texte est visible par les opérateurs de téléphonie mobile et les gouvernements, et peut même être intercepté par des pirates organisés et semi-qualifiés. Cela signifie que même si vous utilisez SMS pour sécuriser vos comptes en ligne à l'aide d'une authentification à deux facteurs, vos codes peuvent être volés. Tout aussi mauvais, les messages SMS contiennent des métadonnées, qui sont des informations sur le message mais pas le contenu du message lui-même, tel que le numéro de téléphone de l'expéditeur et du destinataire, qui peuvent identifier les personnes impliquées dans la conversation.

Les messages SMS peuvent également être usurpés, ce qui signifie que vous ne pouvez jamais être totalement sûr qu'un SMS a bien été envoyé par une personne en particulier.

Et une récente décision de la Commission fédérale de la communication confère désormais aux opérateurs de téléphonie mobile davantage de pouvoirs pour bloquer les messages SMS. La FCC a déclaré qu'elle réduirait le spam par SMS, mais beaucoup craignent qu'il puisse être utilisé pour étouffer la liberté de parole.

Dans tous ces cas, la réponse est une application de messagerie cryptée.

Quelles sont les meilleures applications de messagerie cryptées?

La réponse simple est Signal, une application de messagerie cryptée de bout en bout à source ouverte et considérée comme le standard de référence des services de messagerie sécurisés pour les consommateurs.

Signal prend en charge et chiffre tous vos messages, appels et conversations vidéo avec d'autres utilisateurs de Signal. Certains des professionnels de la sécurité et des experts en cryptographie les plus intelligents au monde ont examiné et vérifié son code et font confiance à sa sécurité. L’application utilise votre numéro de téléphone cellulaire comme point de contact – ce que certains ont critiqué, mais il est facile de configurer l’application avec un numéro de téléphone dédié sans perdre votre propre numéro de téléphone. Outre votre numéro de téléphone, l'application est conçue de manière à collecter le moins de métadonnées possible.

Une récente demande du gouvernement concernant les données de Signal a montré que le fabricant d’applications n’avait presque rien à redresser. Non seulement vos messages sont cryptés, mais chaque participant à la conversation peut configurer l’expiration des messages. Ainsi, même si un périphérique est compromis, les messages peuvent déjà être configurés pour disparaître. Vous pouvez également ajouter un écran de verrouillage distinct sur l'application pour plus de sécurité. Et l'application continue à devenir de plus en plus forte. Récemment, Signal a déployé une nouvelle fonctionnalité qui masque le numéro de téléphone d'un expéditeur de message, améliorant ainsi l'anonymat de l'expéditeur.

Mais en réalité, il existe une réponse beaucoup plus nuancée que «juste Signal».

Tout le monde a des besoins, des désirs et des exigences différents. Selon qui vous êtes, en quoi consiste votre travail et à qui vous parlez, il déterminera quelle application de messagerie chiffrée est la meilleure solution pour vous.

Signal peut être l'application préférée des emplois à haut risque – tels que le journalisme, l'activisme et les employés du gouvernement. Beaucoup trouveront que WhatsApp, par exemple, est assez bon pour la grande majorité qui veut juste parler à leurs amis et à leur famille sans se soucier de la lecture de leurs messages.

Vous avez peut-être entendu des informations erronées sur WhatsApp au cours des dernières années, principalement à cause d'informations erronées et trompeuses selon lesquelles il existait une "porte dérobée" permettant aux tiers de lire des messages. Ces affirmations étaient sans fondement. WhatsApp collecte des données sur ses 1,5 milliard d'utilisateurs, telles que des métadonnées sur les personnes qui contactent qui et quand. Ces données peuvent être transmises à la police si elle le demande avec un ordre légal valide. Mais les messages ne peuvent pas être lus car ils sont cryptés de bout en bout. WhatsApp ne peut pas renvoyer ces messages même s’il le voulait.

Bien que beaucoup ne réalisent pas que WhatsApp appartient à Facebook, qui a été confronté à une série de scandales en matière de sécurité et de confidentialité au cours de l’année écoulée, Facebook a déclaré qu’il était déterminé à conserver les messages WhatsApp de bout en bout cryptés par défaut. Cela dit, il est possible que Facebook change d’avis à l’avenir, ont déclaré des chercheurs en sécurité. C’est juste de rester prudent, mais WhatsApp est toujours préférable d’utiliser pour envoyer des messages cryptés que pas du tout.

Le meilleur conseil est de ne jamais écrire et envoyer, même sur une application de messagerie chiffrée de bout en bout, quelque chose que vous ne voudriez pas voir apparaître dans une salle d'audience – juste au cas où!

Wire est également apprécié par de nombreux utilisateurs qui font confiance à l'application multiplate-forme open source pour partager des conversations et des appels de groupe. L’application n’exige pas de numéro de téléphone, mais des noms d’utilisateurs, que beaucoup de ceux qui souhaitent un plus grand anonymat trouvent plus attrayants que les applications alternatives. Wire a également sauvegardé ses revendications de chiffrement de bout en bout en demandant aux chercheurs de procéder à un audit externe de sa cryptographie, mais les utilisateurs doivent être conscients qu'un compromis pour utiliser l'application sur d'autres appareils signifie que l'application conserve une trace de tout le monde. vous avez déjà contacté en texte brut.

iMessage est également crypté de bout en bout et est utilisé par des millions de personnes dans le monde entier qui ne réalisent probablement même pas que leurs messages sont cryptés.

Les autres applications doivent être traitées avec précaution ou évitées.

Des experts comme Telegram ont été critiqués par des experts pour leur cryptographie sujette aux erreurs, qui A été décrit comme si on se cramponnait à une fourchette dans les yeux. Et des chercheurs ont découvert que des applications telles que Confide, qui était jadis un favori des employés de la Maison Blanche, ne brouillaient pas correctement les messages, ce qui permettait aux créateurs de ces applications d'écouter secrètement conversation.

Comment vérifier l'identité de quelqu'un

Une question centrale dans la messagerie cryptée de bout en bout est la suivante: comment savoir si une personne est bien ce qu’elle dit?

Chaque application de messagerie cryptée de bout en bout traite l'identité de l'utilisateur différemment. Signal appelle cela un «numéro de sécurité» et WhatsApp appelle cela un «code de sécurité». Dans l’ensemble, c’est ce que nous appelons la «vérification de la clé».

Chaque utilisateur a sa propre «empreinte digitale» associée à son nom d’utilisateur, son numéro de téléphone ou son appareil. C’est généralement une chaîne de lettres et de chiffres. Le moyen le plus simple de vérifier l’empreinte digitale d’une personne est de le faire en personne. C’est simple: vous sortez tous les deux votre téléphone, ouvrez une conversation sur l’application de messagerie cryptée de votre choix et vous vous assurez que les empreintes digitales des deux ensembles d’appareils sont exactement les mêmes. En général, vous appuyez ensuite sur un bouton "vérifier" – et c'est tout.

La vérification de l’empreinte digitale d’un contact à distance ou par Internet est plus délicate. Il est souvent nécessaire de partager votre empreinte digitale (ou une capture d'écran) sur un autre canal (message Twitter, Facebook ou courrier électronique, par exemple) et de vérifier leur correspondance. (Micah Lee, de l’Intercept, explique brièvement comment vérifier une identité.)

Une fois que vous avez vérifié l'identité de quelqu'un, vous n'avez plus besoin de le revérifier.

Si votre application vous avertit que les empreintes digitales d’un destinataire ont changé, il peut s’agir d’une raison anodine: il peut avoir un nouveau numéro de téléphone ou envoyer un message depuis un nouvel appareil. Mais cela pourrait aussi signifier que quelqu'un tente d'usurper l'identité de l'autre personne dans votre conversation. Vous auriez raison de faire preuve de prudence et d'essayer de revérifier leur identité.

Certaines applications ne se donnent pas la peine de vérifier l’identité d’un utilisateur. Par exemple, il n’ya aucun moyen de savoir que quelqu'un n'observe pas secrètement vos conversations iMessage, car Apple ne vous avertit pas si quelqu'un surveille secrètement votre conversation ou n'a pas remplacé le destinataire du message par une autre personne.

Vous pouvez en savoir plus sur la manière dont Signal, WhatsApp, Telegram et Wire vous permettent de vérifier vos clés et de vous avertir des modifications apportées. (Alerte spoiler: le signal est le choix le plus sûr.)

Il y a quelques autres conseils que vous devriez savoir:

Les sauvegardes de messages cryptées ne sont généralement pas cryptées dans le cloud: Un point très important ici – souvent, vos messages cryptés ne sont pas cryptés lorsqu'ils sont sauvegardés sur le cloud. Cela signifie que le gouvernement peut demander à votre fournisseur de cloud, comme Apple ou Google, de récupérer et de transférer vos messages cryptés à partir de ses serveurs. Vous ne devriez pas sauvegarder vos messages sur le cloud si cela vous pose problème.

Méfiez-vous des applications de bureau: L’un des avantages de nombreuses applications de messagerie chiffrées est qu’elles sont disponibles sur une multitude de plates-formes, de périphériques et de systèmes d’exploitation. Beaucoup proposent également des versions de bureau pour répondre plus rapidement. Mais au cours des dernières années, la plupart des vulnérabilités majeures ont été trouvées dans le logiciel de bureau buggy. Assurez-vous d’être au-dessus des mises à jour des applications. Si une mise à jour nécessite le redémarrage de l'application ou de votre ordinateur, vous devez le faire immédiatement.

Définissez vos messages pour expirer: Le cryptage n’est pas magique; cela demande de la conscience et de la considération. La messagerie cryptée de bout en bout ne vous sauvera pas si votre téléphone est compromis ou volé et que son contenu est accessible. Vous devez sérieusement envisager de définir un délai d'expiration dans vos conversations pour vous assurer que les messages plus anciens seront supprimés et disparaissent.

Gardez vos applications à jour: L'un des meilleurs moyens de garantir votre sécurité (et de bénéficier de nouvelles fonctionnalités!) Consiste à vous assurer que vos applications de bureau et mobiles sont régulièrement mises à jour. Les bogues de sécurité se rencontrent souvent, mais il est possible que vous n'en entendiez pas toujours parler. Garder vos applications à jour est le meilleur moyen de vous assurer d'obtenir ces correctifs de sécurité le plus rapidement possible, réduisant ainsi le risque que vos messages soient interceptés ou volés.

Cybersecurity 101 - TechCrunch