Les messageries sécurisées : enjeux sociétaux

Magazine
Marque
MISC
Numéro
91
Mois de parution
mai 2017
Domaines


Résumé

La messagerie sécurisée permet de maintenir le caractère privé, confidentiel, secret des correspondances. On parle aussi de messagerie chiffrée [1]. La distinction sécurisée/privée peut être décrite ainsi : un message sécurisé est celui que seul reçoit le destinataire indiqué ; le message chiffré celui qui ne peut être lu que par le destinataire désigné [2]. La messagerie sécurisée est parfois présentée comme un outil essentiel pour les activistes, les citoyens qui s’opposent à des régimes totalitaires, comme un instrument d’opposition politique. Échapper à une surveillance étatique jugée intrusive [3], attentatoire aux libertés des individus, n’est toutefois pas la seule finalité des messageries sécurisées. Elles ont plus généralement pour objet de protéger les échanges (e-mail, chat, etc.) contre toutes sortes de regards indiscrets, de tiers non autorisés, et plus généralement de protéger la vie privée et les activités professionnelles. Tout un chacun peut en effet avoir des données à protéger des regards indiscrets : données personnelles, de santé, fiscales ; données classifiées, pour les armées ; données contractuelles pour les entreprises, etc. La sécurisation des échanges répond à ces impératifs particuliers. Les révélations d’Edward Snowden relatives aux pratiques des États en matière de cybersurveillance sont, sans nul doute, en grande partie responsables de nouvelles attentes, qu’une offre relativement pléthorique et en perpétuelle évolution tente de satisfaire.


1. Des enjeux politiques

1.1. Quelques remarques liminaires

L’offre en matière d’applications de messagerie sécurisée est pléthorique. Une étude comparative de l’EFF (Electronic Frontier Foundation, organisation internationale dont la mission est la défense des libertés civiles dans le monde numérique) en recense près de 40 [4] au rang desquelles : AIM, BlackBerry Messenger, BlackBerry Protected, ChatSecure+ Orbot, Ebuddy XMS, Facebook chat, FaceTime, Google Hangouts/Chat « off the record », Hushmail, iMessage, iPGMail, Jitsi+Ostel, Kik Messenger, Mailvelope, Mxit, Off-the-Record (OTR) Messaging for Windows (Pidgin), PGP for Mac (GPGTools), PGP for Windows Gpg4win, QQ, RetroShare, Signal/Redphone, Silent Phone, Silent Text, Skype, Snapchat, StartMail, SureSpot, Telegram, TextSecure, Threema, Viber, Virtru, WhatsApp, Wickr.

Mais on peut bien sûr ajouter quantité d’autres applications à cette liste : Protonmail [5], Meebo, Imo.IM…

Les applications...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[1] En anglais : encrypted messaging app., secure messaging, secure and encrypted messaging

[2] Tay Kratzer, « Sending secure and encrypted messages with GroupWise 6.5 », 1 mai 2003, https://support.novell.com/techcenter/articles/ana20030502.html

[3] Micah Lee, « Chatting in secret while we’re all being watched », 14 juillet 2015, https://theintercept.com/2015/07/14/communicating-secret-watched/

[4] https://www.eff.org/node/82654

[5] https://protonmail.com/fr/

[6] Michel Samama, « La télématique bancaire, un enjeu stratégique pour les banques », 21 février 1992, http://www.lesechos.fr/21/02/1992/LesEchos/16082-131-ECH_la-telematique-bancaire--un-enjeu-strategique-pour-les-banques.htm

[7] Mohit Kumar, « DARPA wants to build ultra secure messaging app for US military », 23 avril 2016, http://thehackernews.com/2016/04/secure-messenger.html - Giulio Prisco, « DARPA, NATO looking at military applications of blockchain technology », 23 mai 2016, https://bitcoinmagazine.com/articles/darpa-nato-looking-at-military-applications-of-blockchain-technology-1464018766

[8] http://www.esigetel.fr/symphony-plateforme-communication-ultra-securisee-david-gurle-ingenieur-esigetel

[9] Yves Eudes, « Ricochet, une messagerie sécurisée qui cache aussi les métadonnées », 19 janvier 2016,  http://www.lemonde.fr/pixels/article/2016/01/19/ricochet-une-messagerie-securisee-qui-cache-aussi-les-metadonnees_4849970_4408996.html

[10] https://defcom.com/fr/deftalk-project

[11] Lily Hay Newman, « Hack Brief : hackers breach the ultra-secure messaging app Telegram in Iran », août 2016, https://www.wired.com/2016/08/hack-brief-hackers-breach-ultra-secure-messaging-app-telegram-iran/

[12] Kurt Wagner, « Is your messaging app encrypted ? », 21 décembre 2015, http://www.recode.net/2015/12/21/11621610/is-your-messaging-app-encrypted

[13] Mariella Moon, « Egypt has blocked encrypted messaging app Signal », 20 décembre 2016, https://www.engadget.com/2016/12/20/egypt-blocks-signal/

[14] « Brésil : la justice bloque WhatsApp sur tout le territoire », 19 juillet 2016,  http://www.lepoint.fr/monde/bresil-la-justice-bloque-whatsapp-sur-tout-le-territoire-19-07-2016-2055578_24.php

[15] David Kravets, « UK Prime Minister wants backdoors into messaging apps or he’ll ban them », 12 janvier 2015, http://arstechnica.com/tech-policy/2015/01/uk-prime-minister-wants-backdoors-into-messaging-apps-or-hell-ban-them/

[16] Zane Huffman, « Wiper, the Secure Messaging App, banned from China, after adding Bitcoin support », 15 mars 2015, http://www.coinbuzz.com/2015/03/15/wiper-the-secure-messaging-app-banned-from-china-after-adding-bitcoin-support/

[17] https://www.eff.org/node/82654

[18] Mariella Moon, « Egypt has blocked encrypted messaging app Signal », 20 décembre 2016, https://www.engadget.com/2016/12/20/egypt-blocks-signal/

[19] David Fifield, et alt., « Blocking-resistant communication through domain fronting », 2015, https://www.bamsoftware.com/papers/fronting/

[20] Laura Rosbrow-Telem, « India Supreme Court rejects petition trying to ban encrypted messaging apps like WhatsApp », 29 juin 2016, http://www.geektime.com/2016/06/29/india-supreme-court-rejects-petition-trying-to-ban-encrypted-messaging-apps-like-whatsapp/

[21] David Brin, « The Transparent Society : Will Technology Force Us to Choose Between Privacy and Freedom ? » Reading, MA: Addison-Wesley, 1998

[22] James Colraine, « Encrypted Messaging apps in the age of terrorism and Snowden : savior or safe heaven ? », Mémoire de Master, avril 2016, Georgetown University, Washington, 97 pages

[23] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000173519

[24] https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=9CE3F00FCED3A40B9948E880A201A130.tpdila12v_1?cidTexte=JORFTEXT000028338825&categorieLien=id

[25] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000030931899&dateTexte=&categorieLien=id

[26] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033202746&categorieLien=id

[27] https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033202746&categorieLien=id

[28] https://www.cnil.fr/fr/donnees-de-sante-messagerie-electronique-et-fax

[29] https://www.cnil.fr/fr/declaration/au-037-traitements-des-donnees-de-sante-par-messagerie-securisee

[30] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000029239823&fastReqId=2124610618&fastPos=1

[31] https://www.eff.org/node/82654

[32] Dan Albright, « 4 security threats WhatsApp users need to know about », 25 février 2015, http://www.makeuseof.com/tag/4-security-threats-whatsapp-users-need-know/

[33] Dann Albright, « 4 security threats WhatsApp users need to know about », 25 février 2015, http://www.makeuseof.com/tag/4-security-threats-whatsapp-users-need-know/

[34] Dann Albright, « Telegram provides a secure & fast-growing alternative to WhatsApp », 17 novembre 2014, http://www.makeuseof.com/tag/telegram-provides-secure-fast-growing-alternative-whatsapp/

[35] Mohit Kumar, « Is Telegram Really Secure ? - 4 major privacy issues raised by researcher », 19 novembre 2015, http://thehackernews.com/2015/11/telegram-security-privacy.html

[36] Mentions légales de WhatsApp, https://www.whatsapp.com/legal/#terms-of-service

[37] Secure Messaging User Agreement, https://www.everbridge.com/securemessaging-terms/



Articles qui pourraient vous intéresser...

Introduction aux TPM (Trusted Platform Modules)

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Les TPM (Trusted Platform Modules), brique de base du Trusted Computing, ont été imaginés il y a une vingtaine d’années, et pourtant ils ne sont pas très utilisés malgré leurs réelles qualités. Comment expliquer cela ? Cet article tend à fournir de premiers éléments de réponse.

Identification automatique de signaux grâce à la fonction d’autocorrélation

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Vous connaissiez la chasse au trésor… Initiez-vous maintenant à la chasse au signal (signal hunting en anglais). La chasse au signal consiste à rechercher les signaux qui nous entourent dans l’espace invisible du spectre électromagnétique. Mais plus besoin de rester l’oreille collée sur un haut-parleur à tourner le bouton pour régler la fréquence. La SDR (Software Defined Radio) a révolutionné tout cela : une radio numérique et un PC est vous voilà armé pour découvrir ce monde que les professionnels dénomment le SIGINT (SIGnal INTelligence).

Avec le Spanning Tree Protocol, suis-je en sécurité dans mon réseau ?

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Dans le cadre des hors-séries sur les retours aux fondamentaux, cet article aura comme sujet le protocole STP (Spanning Tree Protocol). Inventé en 1985 par Radia Perlman, il permet principalement d’assurer une liaison réseau redondante et sans boucle. Ce protocole étant primordial au sein d’un réseau de moyenne à grande envergure, s’il n’est pas correctement configuré, cela pourra alors permettre à des attaquants de compromettre le réseau.

Return oriented programming 101

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Le Returned Oriented Programming (ou ROP) est une technique permettant d'exploiter des programmes disposant de la protection NX (No eXecute) ou DEP (Data Execution Prevention). L'objectif de cet article est de vous présenter les bases du ROP, ainsi que l’exploitation pas-à-pas d’un programme d’entraînement via l'utilisation de la bibliothèque python pwntools [1]. Dans un souci de simplicité, la démonstration sera réalisée sur un programme s'exécutant sur un système Linux 64 bits. Bien entendu, cette démonstration reste applicable sur d'autres architectures (ARM, MIPS, etc.).

Use-After-Free dans le noyau Linux

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Pièce logicielle qui a accompagné les deux dernières décennies, le noyau Linux est un système relativement complet qui dispose d’un allocateur de mémoire dynamique. Comme tous les logiciels classiques, le noyau est ainsi régulièrement sujet à des vulnérabilités de type Use-After-Free via cet allocateur.