Des messageries sécurisées, pour protéger votre confidentialité!

La possibilité d'échanger des messages instantanés entre particuliers n'a émergé qu'avec l'essor de la téléphonie mobile. Auparavant, seules les communications téléphoniques permettaient l'instantanéité. Le SMS, cette (relative) nouveauté est donc de fait le 1er service de messagerie instantané grand public.

Les messageries universelles.

Le SMS (Short Message Service).

Petit rappel historique :
1973 : 1er appel passé depuis un mobile aux USA (Motorola).
1983 : Commercialisation du 1er appareil mobile aux USA le DynaTAC de Motorola à plus de 10.000 $ pièce en valeur actualisée...
1988 : Mise en service de la norme GSM (Global System for Mobile).
1992 : 1er SMS (Short Message Service) passé en Grande Bretagne.
1996 : 1er forfait GSM grand public en France (mais le Be-Bop date de 1993…).
2007 : Commercialisation du 1er smartphone tactile (iPhone d’Apple).

Le réseau GSM, qui a permis de faire émerger le message instantané a la capacité de transmettre la voix et les SMS mais il porte en lui des faiblesses : • Taille limitée à 160 caractères. • Protocole de transmission non sécurisé. • Sensible au SIM Swapping (voir de quoi il s'agit dans la partie «Mots de passe»). Après un pic de 205 milliards de SMS émis en France en 2016, la volumétrie est maintenant en forte décrue. Si les SMS de marketing et transactionnels (confirmations de commandes, codes de validation) restent à un niveau élevé, les messages entre particuliers ont quant à eux fortement reflué.
Pourquoi ? Depuis l’avènement du smartphone et de l’Internet Protocol (IP), les messageries propriétaires proposent des possibilités étendues : historiques, conversations groupées, formats des contenus, interactions en temps réel, etc...

Le SMS porte malgré tout en lui un avantage fondamental, il est universel: tout utilisateur en possession d’un numéro de téléphone mobile est en mesure de communiquer avec n'importe quel autre possesseur d'un tel abonnement. L'utilisateur d'une messagerie propriétaire ne pourra quant à lui communiquer qu'avec un utilisateur utilisant la même application.

Le RCS (Rich Communication Services).

Le successeur du SMS existe depuis 2007, il s'agit du RCS. C'est un protocole internet qui reprend le principal avantage du SMS qu'est son universalité, en lui associant les avantages des messageries propriétaires. Son adoption n'est malheureusement pas massive pour 2 principales raisons :

• Il nécessite des investissements importants de la part des opérateurs et fabricants de mobiles pour les rendre compatibles.
• La concurrence existante entre Google, un des principaux promoteurs de ce protocole depuis 2019 avec sa messagerie Messages, et Apple, qui met en avant iMessage est un frein.

Fonctionnement.

La norme RCC.71 décrit le fonctionnement du protocole RCS émis par GSMA. Cette association (GSM Association) regroupe les opérateurs de 220 pays qui totalisent plus de 6.5 milliards de lignes téléphoniques. Elle a donc un impact important qui a un rôle normatif. Succinctement :

• Les donnéees sont transmises par IP.
• L'identification/authentification des utilisateurs sont assurés par la carte SIM.

Si le mobile destinataire n'est pas compatible RCS, le message est routé sous forme de SMS via le réseau cellulaire de l'opérateur (selon le même schéma que le iMessage d'Apple lorsque vous envoyez un message d'iOS vers un utilisateur Android).

Fonctionnalités.

Du fait de l'adoption de l'IP, les fonctionnalités du RCS sont similaires à celles des messageries propriétaires :

• 1 to 1 messaging => Tchat en tête à tête.
• Group Chat => Tchat de groupe.
• File Transfer => Transfert de fichiers tous formats.
• Audio Messaging => Messagerie audio.
• Messaging for Multi-Device => Disponibilité multi-plateformes (PC/Tablette/Smartphone).
• Green Button Promise for Voice => Appels audio.
• Green Button Promise for IP Video Call Services => Appels vidéo.
• Enriched Calling => Partage de contenus avant/pendant/après l'appel ou sa tentative.

Perspectives.

L'adoption en 2024 par l'Union Européenne du Digital Markets Act (DMA) pousse les principaux acteurs (et particulièrement Apple) à évoluer. Son objectif est de lutter contre les pratiques anticoncurrentielles, ce qui a pour conséquence de directement promouvoir la compatibilité des matériels et des protocoles. Cela a poussé Apple à abandonner son port propriétaire Lightning au profit de l'USB-C, ouvrir les applications à des magasins autres que l'App Store et mettre en oeuvre le RCS dans iOS 18. Mais si le RCS est une évolution majeure qui permettra de combler le fossé existant entre le SMS et les messageries internet sur la partie fonctionnalités, il en est une autre, fondamentale, qui n'est toujours pas présente dans son protocole : le chiffrement de bout en bout. Cela devrait toutefois évoluer puisque Google a par exemple implémenté le E2EE dans son application Messages en 2021. Pour rappel, Apple a lancé iMessage en 2011...

Les messageries propriétaires.

Si les applications existent depuis le début des ordinateurs de bureau (pensez aux suites bureautiques), c'est l'arrivée des 1ers smartphones et particulièrement l'iPhone et son magasin d'applis App Store, qui a révolutionné le secteur. Cela a favorisé la création et la distribution d'applis de messagerie permettant de combler les lacunes du SMS, et plus particulièrement son absence totale de confidentialité. Ce dernier est en effet émis en "clair" et donc lisible par les opérateurs qui le routent.

Génèse.

C'est fort de ce constat que sont créées les 1ères messageries sécurisées MSN Messenger (ancêtre de Skype) est un peu le précurseur (1999) mais est lancée sur une plateforme PC, puis viennent celles qui sont aujourd'hui parmi les plus utilisées, WhatsApp en 2009, Viber en 2010, iMessage en 2011, Threema en 2012, Telegram en 2013 ou Signal en 2015. Si l'enrichissement des fonctionnalités du SMS ont donc été à l'origine du développement de ces nouvelles messageries, la sécurité en a également été son principal fil conducteur. Voyons plus en détail ce que proposent 3 d'entre elles, iMessage parce qu'elle est fournie avec iOS qui est notre plateforme de référence, WhatsApp parce qu'elle est utilisée par plus de 85% des possesseurs de smartphones, malgré que son modèle économique soit la vente de vos données, et enfin Signal parce que son objectif est de fournir une messagerie sécurisée et respectueuse de vos données (c'est une fondation sans but lucratif financée exclusivement par les dons).

iMessage est l'application d'Apple permettant d'envoyer et recevoir des messages sécurisés sur les seuls appareils Apple (iPhone, iPod, iPad, MacBook). En cas d'envoi d'un message vers un appareil Android, le message est envoyé au format SMS/MMS, c'est à dire sans possibilité d'utiliser les fonctionnalités avancées de l'application.

Fonctionnalités

• Types de message : Messages texte, audio et vidéo – Memoji – Digital Touch – Messages manuscrits – Message ou écran avec effets (Impact-Voyant-Discret-Encre invisible).
• Fonctionnalités : Conversations de groupe – Réponse ciblée – Réponse rapide (Réactions) - Indicateur de saisie - Confirmation de lecture – Annulation d’envoi (dans les 2 min) – Modification après envoi (dans les 15 min) - Epinglage d'une conversation - Partage de position.
• Autres : Transcription de messages audio – Filtres de recherche - Taille maxi de fichier transféré 100 MO.

Confidentialité.

Son utilisation nécessite un identifiant Apple donc une adresse email et un numéro de téléphone. La collecte de données semble contenue au strict nécessaire.

Sécurité.

Connexion au compte iCloud : authentification à 2 facteurs. Connexion à l'iPhone : Face ID. Messages chiffrés par défaut de bout en bout avec un algorithme post-quantique. Possibilité de valider les clés de contact pour vérifier que vous échangez bien avec la bonne personne. Algorithme de chiffrement : Post-quantique PQ3.

Points forts.

Compatibilité SMS/MMS. Chiffrement E2EE post-quantique.

Points faibles.

Compatibilité RCS met un peu de temps à être déployée par les opérateurs. Code propriétaire. Absence de la fonctionnalité d'appels sécurisés.

WhatsApp a été créé par Brian Acton et Jan Koum. Ce qui est plaisant dans cette histoire est qu'ils ont postulé chez Facebook en 2007 après leur départ de Yahoo mais n'ont pas été retenus. 7 ans plus tard, Facebook rachetait WhatsApp pour 16 milliards $... Si l'idée initiale était bien de créer le remplaçant du SMS, Jan Koum étant né dans un pays de l'URSS avait aussi à coeur de fournir un service permettant de se prémunir des oreilles indiscrètes ! On peut aussi penser qu'il souhaitait que sa messagerie respecte la confidentialité de ses utilisateurs puisqu'il démissionnera en 2018 suite à un différend avec les patrons de Facebook concernant l'utilisation des données personnelles. On retrouvera Brian Acton quant à lui, chez Signal !

Fonctionnalités.

• Type de messages : Messages texte, audio et vidéo - Appels audio et vidéo - Messages éphémères.
• Fonctionnalités : Formatage de texte - Conversations de groupe - Réponse ciblée - Confirmation de réception - Confirmation de lecture - Verrouillage de discussion - Modification de message (dans les 15 min) - Suppression de message - Mention d'une personne dans une conversation de groupe - Epinglage des conversations - Partage de position - Statut - Partage d'écran en appel vidéo - Fond d'écran de discussion paramétrable.
• Autres : Chaînes WhatsApp - Listes de diffusion - Taille maxi de fichier transféré 100 MO.

Confidentialité.

Nécessite un numéro de téléphone. Protection de l'adresse IP pendant un appel. Aspirateur de données : tout est collecté sauf le contenu de vos conversations qui est chiffré.

Sécurité.

Connexion par Passkey. Messages chiffrés par défaut de bout en bout. Possibilité de valider les clés de contact pour vérifier que vous échangez bien avec la bonne personne. Algorithme de chiffrement : Chiffrement E2EE Signal Protocol non post-quantique développé par Open Whisper Systems.

Points forts.

Appels sécurisés. Validation des utilisateurs.

Points faibles.

Incompatibilité SMS/MMS/RCS. Code propriétaire. Enormément de données utilisateurs utilisées à des fins commerciales.

Signal est issu des applications RedPhone et TextSecure qui datent de 2010. La messagerie prend sa forme actuelle en 2018 lorsque Moxie Marlinspike et Brian Acton créent la fondation éponyme Signal Foundation.

Fonctionnalités.

• Type de messages : Messages texte, audio et vidéo - Appels audio et vidéo - Messages éphémères.
• Fonctionnalités : Formatage de texte - Floutage de texte - Conversations de groupe - Réponse ciblée - Indicateur de saisie - Confirmation d'envoi - Confirmation de lecture - Modification d'un message (10 fois dans les 24H) - Suppression d'un message (dans les 24H) - Mention d'une personne dans une conversation de groupe - Epinglage des conversations - Partage de position - Partage d'écran en appel vidéo - Fond d'écran de discussion paramétrable.
• Autres : Stories - Notes perso - Intégration native de paiements en cryptomonnaie (MOB) - Taille maxi de fichier transféré 100 MO.

Confidentialité.

Nécéssité d'un N° de téléphone mais possibilité de le cacher aux autres utilisateurs et soit d'utiliser un nom d'utilisateur soit d'échanger un QR code pour initier une conversation. Protection de l'adresse IP pendant un appel. Données collectées : date d'inscription et de dernière connexion.

Sécurité.

Pas de connexion par Passkey. Chiffré par défaut de bout en bout avec l'algorithme post-quantique Signal. Possibilité de valider les clés de contact pour vérifier que vous échangez bien avec la bonne personne. Protection de la réinscription d'un numéro de téléphone par code. Algorithme de chiffrement : Chiffrement E2EE post-quantique PQXDH.

Points forts.

Code Open source. Appels sécurisés. Sécurité du chiffrement post-quantique et validation des utilisateurs. Confidentialité renforcée. Possibilité d'échanger avec un autre utilisateur sans divulguer son numéro de téléphone (qui reste nécessaire pour se connecter) mais avec un nom d'utilisateur.

Points faibles.

Incompatibilité SMS/MMS/RCS.

En attendant, si on tire le bilan des 3 messageries emblématiques qu'on vient de décortiquer :

• iMessage souffre de l'absence d'appels chiffrés et de la captivité dans laquelle l'écosystème Apple la confine.
• WhatsApp pêche par l'absence de confidentialité qui est sa marque de fabrique (si vous avez en plus un compte Facebook, c'est carton plein pour Meta, la maison mère).
• Signal l'emporte haut la main concernant la sécurité et la confidentialité tout en étant largement au même niveau que ses challengers pour ce qui est des fonctionnalités offertes. L'adjonction d'une connexion par Passkey et la compatibilité SMS/RCS en feraient même l'application de messagerie parfaite.