Si vous faites partie des centaines de millions d’utilisateurs de l’application Facebook Messenger, vous devriez peut-être réfléchir à des alternatives. Voilà pourquoi.

Bien que l’application ait annoncé une mise à jour majeure cette semaine, avec l’ajout de dispositifs biométriques sur iOS, elle reste peu sûre pour ses utilisateurs. Ce problème va même de mal en pis et Facebook a du mal à le résoudre.


En annonçant ses dernières mises à jour, Facebook a déclaré aux utilisateurs : « La vie privée est au cœur de Messenger, où vous pouvez être vous-même avec les personnes qui comptent le plus pour vous ». Le réseau social a ainsi présenté App Lock, une nouvelle fonctionnalité qui « ajoutera une autre couche de sécurité à vos messages privés, pour aider à empêcher d’autres personnes d’y accéder ». Malheureusement, cette mise à jour revient à ajouter des serrures supplémentaires à la porte d’entrée d’une banque, alors que la chambre forte est grande ouverte. 

Le problème tient en un mot : le chiffrement. La plateforme Facebook elle-même avertit les utilisateurs des risques lorsque les messages ne sont pas chiffrés de bout en bout. Le réseau social admet que cette mesure de sécurité atténuerait la compromission des serveurs et de l’infrastructure de réseau utilisés par Facebook Messenger. La société avait d’ailleurs émis cet avertissement en 2017, lors de l’introduction de ses « Conversations secrètes ».

Les conversations secrètes proposent un chiffrement de bout en bout pour des conversations individuelles spécifiques, mais pas pour des groupes ni pour des conversations par défaut. Facebook explique : « Une conversation secrète dans Messenger est chiffrée de bout en bout et destinée uniquement à vous et à votre interlocuteur », ce qui implique que les conversations non secrètes sont susceptibles d’être consultées par d’autres personnes.

Avec Messenger, Facebook s’est tiré une balle dans le pied. Le réseau social est devenu le premier soutien mondial du chiffrement de bout en bout, et même son PDG, Mark Zuckerberg, en a loué les avantages. Mais la plateforme a également admis que les complexités techniques de l’ajout de ce niveau de sécurité à Messenger pourraient prendre des années avant de voir le jour.

Il suffit de lire l’explication de WhatsApp sur le chiffrement de bout en bout pour comprendre pourquoi ce dernier est nécessaire : « Certains de vos moments les plus personnels ont été partagés sur WhatsApp et c’est pour cela que nous avons développé le chiffrement de bout en bout dans notre application. Lorsqu’ils sont chiffrés de bout en bout, vos messages, photos, vidéos, messages vocaux, documents et appels sont sécurisés pour éviter qu’ils ne tombent entre de mauvaises mains ». Le plus surprenant dans tout ça, c’est que WhatsApp appartient à Facebook. Oups.

Bien entendu, ce problème ne concerne pas seulement Facebook Messenger : les SMS sont encore pires. La meilleure chose à faire est d’arrêter d’utiliser les SMS si possible. Sur iPhone, l’application iMessage propose une mise à jour du chiffrement de bout en bout pour les SMS (qui restent le média le plus utilisé dans le monde), et c’est également le cas de Google avec sa nouvelle application Chat, qui se veut la remplaçante des SMS.

Mais Messenger compte plus d’un milliard d’utilisateurs, et contrairement au SMS, l’application de Facebook se présente comme une alternative actuelle et complète aux anciens services de messagerie. Jake Moore, spécialiste en cybersécurité, explique : « Les utilisateurs qui choisissent de communiquer via Messenger doivent comprendre la menace réelle qui pèse sur leurs informations dans de telles applications. Même si beaucoup pensent que le contenu de leurs messages n’est pas personnel, le vrai problème est que toute information vous concernant est susceptible de tomber dans de mauvaises mains ».

Récemment, Twitter a été mis en cause pour un problème similaire lorsqu’un piratage de masse a compromis une centaine de profils et exploité les messages privés de 36 comptes différents. Cela a été possible car les DM sur Twitter ne sont pas chiffrés de bout en bout. Comme chez Messenger, cette fonctionnalité est sur la feuille de route du réseau social depuis des années.

Certes, Twitter n’est pas une plateforme de messagerie privée, et le volume de DM envoyés est minime par rapport à Messenger. Mais le récent piratage devrait servir d’avertissement. Jake Moore poursuit : « Les récentes complications avec Twitter soulignent une fois de plus l’importance des messages chiffrés de bout en bout et des plateformes de messagerie axées sur la vie privée ».

L’attaque de Twitter a spécifiquement mis au jour la faculté d’une plateforme à décrypter les conversations privées de ses utilisateurs, ce qu’elle peut faire si les forces de l’ordre lui demandent ou si des employés malhonnêtes s’infiltrent dans nos vies privées. Facebook a déclaré à Forbes : « Nos serveurs se trouvent seulement dans une poignée de pays qui ont un état de droit solide. Nous avons également mis en place de solides protections des données et des dispositifs de sécurité qui protègent les données au repos et limitent l’accès des employés au contenu des messages ».

Mais comme le déclare la messagerie sécurisée ProtonMail : « La meilleure façon de protéger vos données, c’est de ne pas y avoir accès. L’avantage des services chiffrés de bout en bout est que les données peuvent être conservées en toute sécurité, même en cas de violation de la vie privée, car le fournisseur lui-même n’a pas la capacité de décrypter les données des utilisateurs. En effet, il est impossible pour les pirates de voler quelque chose que le service lui-même ne possède pas ».

ProtonMail met là en garde contre les applications de messagerie même les plus sécurisées. En effet, les sauvegardes de messagerie d’Apple et de Google ne sont pas chiffrées de bout en bout, elles stockent essentiellement une copie des données décryptées de votre téléphone. Et lorsque vous utilisez la fonction de sauvegarde dans le cloud sur WhatsApp, vous courez le même risque, bien que ce problème soit en train d’être résolu par l’application.

Pour sa part, Jake Moore préconise Signal, la plateforme de choix des cyberexperts avec son approche axée sur la sécurité et l’absence de toute forme de sauvegarde des messages. C’est aussi l’alternative qu’a choisi John Opdenakker, rédacteur Infosec : « Les gens devraient prendre en compte que tout ce qu’ils disent dans leurs DM Twitter ou sur Facebook Messenger peut devenir public tôt ou tard. Si vous voulez une messagerie privée, utilisez des applications comme Signal qui offrent un chiffrement de bout en bout ».

Les professionnels de la sécurité recommanderont toujours des services de messagerie similaires à Signal, où les mises à jour ne seront introduites que lorsqu’elles ne compromettent pas la sécurité de l’application. Mais en réalité, il ne faut pas chercher bien loin pour trouver une alternative à Messenger : WhatsApp, la plateforme la plus populaire au monde, est chiffrée de bout en bout par défaut. C’est le cas pour les conversations individuelles et de groupes, mais aussi pour les appels vocaux et vidéo.

Le niveau de sécurité de WhatsApp a fluctué au fil des ans, mais le chiffrement de bout en bout n’a jamais été compromis. Les hackers ciblent en effet les appareils, et non la plateforme, car chaque extrémité d’une conversation chiffrée est une vulnérabilité. À ce jour, en termes de facilité d’utilisation et de fonctionnalités, Messenger est certes meilleur que WhatsApp. Mais tout cela est sur le point de changer, car l’application prévoit d’introduire un accès multi-plateforme avec des périphériques liés, et semble également prête à ajouter des sauvegardes chiffrées dans le cloud afin de fournir le même historique central de messagerie que celui offert par Messenger. Dans un avenir proche, WhatsApp pourrait également devenir également interopérable avec Messenger. Vous pourrez donc utiliser une plateforme chiffrée de bout en bout (par défaut) tout en restant en contact avec ceux pour qui ce n’est pas le cas.

Ainsi, à tous ceux qui utilisent encore Messenger parce que c’est une application facile et familière, vous avez le choix : continuer avec ce manque de sécurité, ou passer à une plateforme qui offre presque tous les mêmes avantages tout en réglant le problème le plus grave. Jake Moore précise : « Les plateformes de messagerie non chiffrées sont largement ouvertes aux attaques et restent vulnérables une fois les exploits localisés. Nous devons commencer à sensibiliser les gens aux risques et les encourager à passer à des applications axées sur la protection de la vie privée ».

Pour sa part, Facebook assure rester « très engagé à rendre Messenger chiffré de bout en bout par défaut », suggérant qu’aucun retard n’a été rencontré dans la poursuite de cet objectif et que son calendrier « est cohérent avec ce que nous avons dit depuis le lancement : cela va prendre du temps et nous nous engageons à faire cela correctement ». Le réseau social a également indiqué que les pressions exercées par le gouvernement américain concernant la sécurité sont une raison de plus pour atteindre ce but le plus rapidement possible.

Jay Sullivan de chez Facebook a déclaré à une commission sénatoriale l’année dernière : « Les gens devraient pouvoir communiquer en toute sécurité et en privé avec leurs amis et leurs proches sans que personne (y compris sur Facebook) n’écoute ou ne surveille leurs conversations. Ils devraient pouvoir envoyer des informations médicales, des détails financiers ou bancaires privés, et d’autres contenus sensibles, avec la certitude que ces derniers ne tomberont pas entre les mains de voleurs d’identité ou d’autres personnes mal intentionnées… Facebook s’est engagé à rendre ces communications privées largement disponibles ».

Mais cette sécurité par défaut n’est pas encore en place aujourd’hui et ne le sera pas de sitôt. Lorsque Messenger procédera au chiffrement de bout en bout par défaut, l’utilisation de l’application sera de nouveau sûre. Mais, en attendant, nous vous conseillons de chercher une alternative plus efficace. Facebook doit certes surmonter ses obstacles techniques, mais tant que les utilisateurs lui restent fidèles, l’urgence sera limitée. La meilleure chose à faire est de se tourner vers des applications qui font passer notre sécurité et notre vie privée au premier plan (comme WhatsApp), et d’abandonner celles pour qui ce n’est pas le cas.

 

Article traduit de Forbes US – Auteur : Zak Doffman

 

<<< À lire également : Comment Facebook Va Devancer Apple Et Google Grâce À WhatsApp >>>