Comment sécuriser votre application de messagerie?

décembre
27 2018

7 min de lecture

Cette histoire a été publiée à l'origine sur PC Mag

Quelle application de messagerie choisiriez-vous pour une sécurité absolue? Chaque développeur prétendra qu'il considère de manière responsable la sécurité et la confidentialité de ses utilisateurs. Mais avec autant de choix différents, il peut être difficile de dire sur quelles plates-formes de messagerie vous pouvez avoir confiance.

Cet ensemble de critères peut vous aider à évaluer la sécurité de vos applications de messagerie et à décider dans quelle mesure vous pouvez leur faire confiance.

Cryptage

Pratiquement aucune application de messagerie n'envoie vos messages en format texte clair; toutes les plates-formes utilisent une forme de cryptage pour brouiller les messages et empêcher les tiers non autorisés de les lire. Mais toutes les formes de cryptage ne sont pas également sécurisées.

Certaines applications cryptent vos messages en transition et en stockage, mais conservent également une copie des clés de cryptage. Cela signifie qu'ils peuvent déchiffrer et lire le contenu de vos messages. Les entreprises qui utilisent cette forme de cryptage le font généralement pour exploiter les données des utilisateurs à des fins publicitaires. Les exemples incluent bientôt supprimé Google Hangouts, Skype et WeChat.

À propos: Tendances en matière de sécurité Votre entreprise a besoin d'embrasser en 2019

Mais si les serveurs de ces sociétés sont victimes d'une violation de données, des acteurs malveillants accéderont aux clés et pourront également décrypter vos messages. Les sociétés qui hébergent ces services sont alors ouvertes aux mandats des agences gouvernementales qui souhaitent enquêter sur les communications privées des utilisateurs

Les plates-formes les plus sécurisées utilisent le cryptage de bout en bout (E2EE). Ces applications utilisent la cryptographie à clé publique pour chiffrer les messages: Pour chaque utilisateur, la plate-forme émet une paire de clés de chiffrement publiques et privées. Il stocke les clés publiques sur ses serveurs, mais les clés privées ne sont stockées que sur les machines des utilisateurs.

Les utilisateurs peuvent récupérer les clés publiques des serveurs les uns des autres pour chiffrer leurs messages. Chaque message chiffré avec une clé publique ne peut être déchiffré qu'avec la clé privée correspondante, qui est la propriété exclusive du destinataire. Le chiffrement de bout en bout garantit que même la société qui héberge l'application ne peut accéder au contenu d'un message. Même si des pirates informatiques s'introduisent dans leurs serveurs ou que des agences à trois lettres les obligent à transmettre les données des utilisateurs, ils ne pourront pas décrypter le contenu des messages.

À l'heure actuelle, de plus en plus de plates-formes adoptent de bout en bout cryptage. Quelques exemples incluent Signal WhatsApp Wickr et iMessage de Apple.

D'autres applications de messagerie, telles que [] et Facebook Messenger prennent également en charge bout en bout. cryptage, mais il n'est pas activé par défaut. Vous devez activer la fonctionnalité manuellement pour des discussions individuelles. Skype a également récemment ajouté une fonctionnalité appelée Private Conversation qui fournit une conversation cryptée de bout en bout, mais ce n’est pas non plus la configuration par défaut.

Suppression de message

Bien que le cryptage de bout en bout protège vous contre des oreilles indiscrètes, il est inutile si votre appareil ou les appareils des personnes avec lesquelles vous discutez tombent entre de mauvaises mains. Une autre fonctionnalité de sécurité à rechercher dans les applications de messagerie est la possibilité de supprimer les messages après leur envoi. La suppression de messages garantit que, si l'un des périphériques est compromis, vos communications confidentielles ne sont pas exposées.

Lié: Que se passe-t-il actuellement dans l'index des entrepreneurs?

Telegram, Signal et Skype permettent aux utilisateurs de supprimer des messages pour eux-mêmes et les destinataires de leurs messages. Wickr possède également une fonctionnalité de "rappel de message" qui supprime les messages des appareils de toutes les personnes impliquées dans une conversation. Et WhatsApp a ajouté une option "supprimer pour tout le monde" en décembre dernier, mais vous pouvez l'utiliser pour supprimer uniquement les messages que vous avez envoyés au cours des 13 dernières heures.

iMessage ne prend pas en charge la suppression de messages individuels: vous pouvez supprimer uniquement des discussions entières, et lorsque vous le faites, vous supprimez une discussion uniquement du périphérique que vous utilisez; il reste sur tous les autres appareils iOS partageant le même identifiant Apple, ainsi que sur les appareils de la personne avec laquelle vous discutiez.

Le message à suppression automatique constitue un ajout pratique à la suppression. Cette fonctionnalité supprimera automatiquement les messages des appareils de tous les utilisateurs au bout d'un certain délai. Sur Signal, cela s'appelle "disparaître des messages". Lorsque vous activez la fonctionnalité, vous spécifiez un délai d'expiration après lequel un message est automatiquement supprimé de tous les périphériques.

La fonctionnalité d'autodestruction de Wickr est appelée "Gravure à la lecture". Telegram et Facebook Messenger prennent également en charge les messages auto-destructifs, mais uniquement pour les fonctionnalités de discussion secrète qui s'exécutent sur le cryptage de bout en bout. WhatsApp ne prend pas en charge les messages à suppression automatique.

Notez que si le destinataire d'un message prend une capture d'écran de votre conversation et la stocke ailleurs, la suppression sera inutile; la suppression du message ne vous protégera pas contre les partenaires de conversation malveillants. Il s'agit plutôt d'une protection contre les erreurs involontaires.

Métadonnées

En plus du contenu des messages, vous devriez vous préoccuper des métadonnées, informations qu'une plateforme de messagerie stocke à propos de vos activités. Les métadonnées incluent les identifiants d'expéditeur et de destinataire, l'heure d'envoi du message, les identifiants de connexion, les adresses IP, les types d'appareils, la durée des appels et d'autres informations susceptibles de révéler votre identité et vos habitudes.

Dangers de l'Internet des objets (infographie)

De mauvaises mains, les métadonnées peuvent être très préjudiciables, car elles peuvent révéler les schémas de communication d'un utilisateur: les personnes avec lesquelles ils sont en contact, leur localisation géographique , la synchronisation de leurs messages, etc.

Les applications de messagerie les plus populaires collectent une mine d'informations sur l'activité des utilisateurs. Mais Signal a le meilleur bilan, car il n'enregistre que le numéro de téléphone avec lequel vous avez créé votre compte et la dernière date à laquelle vous vous êtes connecté à votre compte (heure, minute et seconde non comprises).

Transparence

Au-delà des promesses des développeurs, des experts indépendants devraient pouvoir vérifier la sécurité d'une application de messagerie. Les plates-formes open source (applications dont les développeurs rendent le code source accessible au public) sont généralement plus fiables, car elles font généralement l'objet d'une évaluation par les pairs et d'un contre-interrogatoire par d'autres développeurs et experts en sécurité.

Signal est une application open source. le code source de toutes les versions de l'application est disponible au téléchargement sur GitHub. Wickr a mis son code source à la disposition du public l'année dernière. Telegram fournit également le code source de ses applications et permet aux développeurs de créer et de publier leurs propres versions de l’application client pouvant s’intégrer à son interface de programmation (API).

] Google Home et Amazon Echo peuvent stocker vos enregistrements vocaux. Voici quand ils pourraient être utilisés contre vous.

WhatsApp et Facebook Messenger ne sont pas des logiciels à source ouverte, mais ils utilisent le protocole de signal à code source ouvert pour chiffrer les messages des utilisateurs.

À code source fermé Les applications telles que iMessage exigent des utilisateurs qu'ils fassent pleinement confiance au développeur pour qu'il vérifie si son code est sécurisé par des bugs de sécurité et pour ne pas installer de portes dérobées: vulnérabilités intentionnelles destinées à fournir à certaines parties (par exemple, les annonceurs et les agences gouvernementales) un accès au contenu du message chiffré.

En résumé, lorsque vous évaluez une application de messagerie, posez-vous les questions suivantes:

• Utilise-t-il un cryptage de bout en bout?

• Autorise-t-il la suppression du message pour toutes les parties à une conversation? 19659037] Combien de métadonnées sont-elles collectées?

• Le code source est-il ouvert à la vérification, et des experts externes ont-il confirmé sa sécurité?

Leur réponse vous donnera une bonne idée de la sécurité d'une application de messagerie.

Mais pour être clair, il n'y a pas de tel thi ng comme sécurité absolue. Et même la plate-forme de messagerie la plus sécurisée ne vous protégera pas contre vous-même.

En plus de choisir une application de messagerie sécurisée pour vos communications sensibles, vous devez développer des habitudes de sécurité personnelles, telles que le verrouillage de l'écran sur vos appareils, la non installation d'applications de développeurs inconnus, et de ne pas partager en ligne. Le meilleur moyen d'avoir une conversation privée est d'éviter complètement les plateformes en ligne.