Par Gérard HAAS et Olivier PREVOST
Que ce soit pour un usage privé ou dans le cadre de l’entreprise, le recours aux messageries chiffrées[1] est l’un des meilleurs moyens de garantir la confidentialité des communications. Différentes solutions existent pour se prémunir d’une fuite d’informations ou d’espionnage.
Deux types de solutions permettent d’échanger de manière sécurisée : les applications de messagerie et les services de mails chiffrés. Les premières sont souvent destinées aux échanges internes à l’entreprise alors que les secondes permettent la communication avec les clients.
1. Les applications de messagerie
Parmi les différents services de messagerie, il existe des solutions internationales, souvent établies aux USA, ainsi que des solutions françaises. Cette distinction est sensée parce que les applications établies sur le territoire américain sont soumises au Cloud Act[2]. Elles peuvent alors faire l’objet de backdoor, c’est-à-dire de vulnérabilités installées par les développeurs afin de permettre aux services de renseignements d’accéder à du contenu normalement inaccessible.
Les services internationaux de messagerie
Dépassant chacun le milliard d’utilisateurs mensuels, WhatsApp et Messenger sont aujourd’hui des outils de communication incontournables. Telegram et Signal s’adressent à un public d’initiés, mais connaissent également un certain succès.
Toutes les solutions proposées assurent un chiffrement du message « end-to-end », c’est-à-dire de bout en bout. Trois solutions sur les quatre étudiées utilisent le même protocole (Signal) qui semble considéré comme fiable. Cependant, le bât blesse au niveau du logiciel employé sur les serveurs hébergeant les messages. En effet, il s’agit à chaque fois de solutions propriétaires dont le code est gardé secret, laissant place à la possible installation de backdoors.
A titre d’illustration, recourir à l’une de ces messageries serait comme utiliser les services d’un convoyeur de fonds pour transporter un bien de valeur, puis le stocker dans une cabane de jardin. Il serait alors difficile de se plaindre d’un vol.
L’impossibilité de faire un audit du logiciel employé dans les serveurs expose au risque de la collecte des métadonnées[5]. Ces données sont par exemple les destinataires des messages et l’horaire d’envoi. Plus concrètement, cela signifie que lorsqu’un message sera envoyé, son contenu restera secret puisque chiffré (et uniquement déchiffrable par le destinataire final) mais qu’un service de renseignements pourra connaître le destinataire du message. L’accès potentiel à ces métadonnées est déjà très révélateur, dans une relation commerciale par exemple[6].
La récente faille de sécurité dévoilée dans WhatsApp et exploitée par la société israélienne NSO montre que les applications en tant que telles peuvent servir à des intrusions. Dans ce cas précis, le contenu des communications n’a pas été compromis puisqu’il est chiffré. En revanche, les attaquants ont eu accès à des fonctions du téléphone de leur cible en passant par l’application[7]. La faille a été corrigée immédiatement par les développeurs.
Ainsi, aucune solution n'apparaît totalement satisfaisante pour la sécurisation de communications, par les inférences politiques ou les pratiques avérées des développeurs. Par son protocole de chiffrement réputé très solide, Signal semble sortir du lot[8]. L’application est recommandée par le lanceur d’alerte Edward Snowden
Les services français de messagerie
L’Etat français, par l’intermédiaire de la DINSIC[10], a émis le souhait de développer une solution propriétaire, destinée aux services publics et notamment à l’armée[11]. C’est ainsi que l’application Tchap a vu le jour en 2018. Fondé sur les mêmes caractéristiques techniques que Citadel, Tchap est un projet ambitieux, toujours en développement, dont l’aboutissement se fait attendre[12].Face aux risques techniques et juridiques des solutions hébergées aux USA, plusieurs applications de messagerie chiffrée se sont développées en France[9]. La solution la plus optimisée à ce jour semble être Citadel, déjà adoptée par certaines grandes entreprises.
Si l’inconvénient est peut-être leur prix, le grand avantage de ces solutions françaises est l’accès au code des logiciels, qui sont disponibles en Open source. Cela permet de se prémunir contre l’installation de backdoor.
2. Les applications d’emails chiffrés
Destinés aux échanges intra et surtout inter-entreprises, les emails peuvent être interceptés. Le recours aux messageries chiffrées permet de limiter ces risques puisqu’elles permettent le chiffrement de bout en bout. Des quatre solutions présentées, ProtonMail apparaît comme étant la plus mature et la plus adaptée au monde de l’entreprise. L’ensemble du mail et de ses pièces jointes est protégé par la couche de chiffrement.
Pour des usages plus spécifiques, ZedMail propose également des services intéressants, notamment le conteneur chiffré. Dans ce cas, ce n’est pas le mail qui sera chiffré mais un fichier pouvant contenir des pièces jointes, déchiffré avec un mot de passe.
L’usage du chiffrement est autorisé mais encadré par le droit français. Il est par exemple recommandé par le RGPD[13] afin de limiter les risques de fuite d’informations lors des traitements de données. Utiliser une solution de communication chiffrée peut être contraignant mais le gain en matière de sécurité et de confidentialité est conséquent.
Que vous souhaitiez développer une solution de communication chiffrée ou bien recourir à l’une de celles existantes, le cabinet HAAS Avocats, spécialiste depuis plus de 20 ans en droit des données et cybersécurité, vous accompagne sur ces sujets. Contactez-nous ici
[1] Le chiffrement peut se définir comme étant tout procédé de cryptographie par lequel la compréhension d'un message est rendue impossible à toute personne qui ne dispose pas de la clé.
[2] Le Cloud Act est une loi américaine portant sur la surveillance des données personnelles
[3] L’Open source est la pratique visant à rendre public le code du logiciel, afin de garantir la transparence puisqu’il peut ainsi être audité par des tiers
[4] VKontakte est un réseau social russe, comparable à Facebook
[5] Une métadonnée est une « donnée servant à définir ou décrire une autre donnée quel que soit son support »
[6] L’avocat américain Kurt Opsahl explique en quoi les métadonnées sont révélatrices de l’activité
[7] Une faille de sécurité de WhatsApp utilisée pour installer un logiciel espion israélien, Le Monde, 14 mai 2019
[8] WhatsApp, Signal, Telegram... quelles sont les applications de messagerie les plus sécurisées ?, Grégory Raymond, Capital.fr, 14 mai 2019
[9] La société Thalès est derrière trois d’entre elles
[10] Direction interministérielle du système d’information et de communication de l’État
[11] Communiqué de presse de la DINSIC du 20 avril 2018
[12] Tchap, la messagerie de l’Etat, attendue pour début 2019, Jean Kaminsky, solutions-numériques.com, 6 décembre 2018
[13] Règlement européen relatif à la protection des données personnelles