Pourquoi et comment protéger ses SMS et ses appels ?
Explication :
Très simplement, apprenez que toutes les technologies de réseau que nous avons utilisées jusqu'à l’arrivée de la 4G sont basées sur le système de signalisation n°7 (appelé en anglais : Signaling System #7 ou SS7).
Le SS7 est un ensemble de protocoles de signalisation téléphonique qui sont utilisés dans la majorité des réseaux téléphoniques mondiaux.
Vous savez, lorsqu’on parle de 2G, 3G, 4G, en fait, ce sont des “générations” (G) de technologie de réseau mobile et depuis que vous avez un téléphone, vous avez surement vu leur acronyme s'afficher en haut de votre écran.
En voici la liste :
Génération | Acronyme |
---|---|
1G | AMPS |
2G | GSM |
2.5G | GPRS |
2.75G | EDGE |
3G | UMTS |
3G+ ou H | HSPA |
3G++ ou H+ | HSPA+ |
3.9G (ou 4G) | LTE |
4G (ou 4G+) | LTE-advanced |
Toutes les générations de technologie de réseau mobile jusqu'à l'arrivée de la LTE, utilisent le système de signalisation SS7. Par la suite, la LTE utilise le procotole DIAMETER.
Le résultat ?
A cause de cette faille, il est possible de connaître le contenu des messages ainsi que leurs métadonnéesLes métadonnées sont toutes les informations qui concernent une donnée à défaut de son contenu. et votre position GPS au moment de l'envoi ou de la réception d'un SMS/appel.
D'autre part, même le protocole DIAMETER utilisé par la LTE (ou 4G) est lui aussi facilement contournable. En effet, des recherches ont démontré que le chiffrement du réseau 4G n'était pas appliqué par défaut par les opérateurs, que les téléphones fonctionnent toujours en 2G et 3G pour l'envoi des SMS et des appels et enfin que beaucoup de communications 4G sont converties en 2G et 3G(3) et passent ainsi par les faiblesses du SS7.
Vous trouverez d'ailleurs des témoignages allemands et français au sujet de ces espionnages d'Etats dans le documentaire nothing to hide.
Le cas des téléphones Android
Sachez que si vous possédez un téléphone sous Android, Google récupère tout un tas de données concernant vos échanges SMS et vos appels comme : les contacts mis en relation, le numéro de téléphone, la durée d'un appel(4).
N'envoyez pas de messages sensibles qui pourrait jouer contre vous en justice.
Bien que les activités de piratage soient souvent associées au domaine de l'informatique, l'Etat a beaucoup plus d'expérience dans l'espionnage des télécommunications.
(Vous trouverez un résumé très clair dans ces deux articles du Nouvel Obs. Article 1 et Article 2. Encore une fois, vous trouverez à ce sujet un témoignage français très intéressant dans le documentaire Nothing to hide.)
De plus, contrairement aux SMS et appels qui nécessitent un réseau mobile pour fonctionner, Signal fonctionne avec n'importe quelle connexion à internet. Ainsi, même sans réseau sur votre téléphone, du moment que vous êtes connecté·e·s à internet sur un réseau wifi, vous pouvez envoyer des messages et passer des appels. Ces communications peuvent d'ailleurs se faire depuis votre téléphone et votre ordinateur. Pourquoi ? Car les SMS et les appels sont liés à votre identité en tant que client·e chez un opérateur et à votre identification sur ton réseau téléphonique (via la carte SIM et le numéro de téléphone). Signal est un service qui fonctionne via internet, il est donc indépendant du réseau mobile, et fonctionne tant que vous êtes connecté·e à internet.
Vous trouverez un guide d'utilisation de Signal sur un téléphone Android réalisé par l'Electronic Frontier Foundation (EFF) : https://ssd.eff.org/fr/module/guide-pratique-utiliser-signal-pour-android
Ces clés sont gérées par chacune des applications Signal que vous avez installées. Ainsi, la gestion des clés est complètement transparente, rien n'est stocké sur les serveurs de Signal et l'application chiffre vos messages et vos appels directement sur votre appareil.
Tout ce qui passe par les serveurs de Signal est alors chiffré et illisible sauf pour les personnes concernées. De plus, dès que vous avez reçu les messages sur tous les appareils où vous avez installé Signal, les données sont effacées de leurs serveurs.
Pour terminer, sachez que Signal chiffre même les métadonnées.
Petit plus : du fait des capacités de transfert de données plus grandes avec un appel par Signal, par rapport à un protocole 3G ou 2G, la qualité de la voix est bien meilleure avec Signal .
L’application Signal est développée par une fondation à but non lucratif, de sorte qu’elle ne peut jamais être achetée, n’a pas d’investisseurs et n’est “détenue” par personne.
Initialement, le développement du protocole de chiffrement et de l'application de messagerie débute en 2010 grâce au travail de Moxie Marlinspike et de la startup Whisper Systems qu'il crée avec Stuart Anderson. A cette époque, le projet ne s'appelle pas Signal, mais TextSecure. Ils travaillent alors sur un protocole de chiffrement appelé “TextSecure Protocol”, un logiciel de messagerie appelé “TextSecure” et un logiciel de communication vocale appelé “RedPhone”.
En novembre 2011, Whisper Systems annonce son acquisition par le géant Twitter, ce qui posera problème par la suite pour le développement des projets(6).
Moxie Marlinspike quitte ensuite Twitter fin 2012 et fonde Open Whisper System en 2013 sous la forme d'un projet collaboratif Open Source et continue le développement de TextSecure et TextSecure Protocol.
En juillet 2014, l'entreprise annonce l'unification de Redphone et TextSecure qui prendra le nom de Signal Messenger et le protocole de chiffrement sera renommé en Signal Protocol.
Quant à Brian Acton, il est le co-fondateur de WhatsApp en 2009 et rejoint donc la maison mère Facebook après le rachat de WhatsApp par cette dernière en 2014. En avril 2016, WhatsApp intègre le chiffrement de bout en bout pour toutes les communications. Pour cela, elle utilise le Signal Protocol développé par Moxie Marlinspike.(7). En 2017, Brian Acton quitte Facebook après un désaccord avec la société sur la monétisation du service par la revente des données des ses utilisateur·trice·s. Il explique d'ailleurs dans une interview à Forbes qu'il a été coaché par les dirigeants de Facebook pour tromper les régulateurs européens concernant l'intention de Facebook de fusionner les données des utilisateurs de Facebook et de WhatsApp (8).
Le 21 février 2018, la fondation Signal créée par Moxie Marlinspike et Brian Acton prend le relais de Open Whisper Systems dans le soutien au développement de Signal Messenger et Signal Protocol. Un développement qui est et restera toujours Open Source.
Comme nous venons de le voir, Whatsapp utilise depuis 2016 le même protocole de chiffrement appelé “Signal protocole”.
Cependant :
Plusieurs points notables :
Plus de détails dans cet article du Blog d'Herminien : https://blog.pcet.link/posts/pourquoi-signal-et-pas-telegram
Pour plus de détails également, vous pouvez jeter un œil sur cet article de France Inter Wire, Signal, Telegram, WhatsApp : quelle application choisir pour ne pas se faire épier ?
Mes parents et des dizaines d'ami·e·s à moi l'utilisent et je m'en sers plus que les SMS. D'ailleurs, si vous avez un smartphone sous Android (pas un iPhone quoi), vous pouvez installer Signal comme application de SMS par défaut ! Ça veut dire quoi ? Que si votre correspondant·e a aussi installé Signal, vos communications seront automatiquement chiffrées, si ce n'est pas le cas, vous communiquerez par SMS, mais dans la même application !
Enfin, depuis février 2020, la Commission européenne recommande l'utilisation de Signal à son personnel pour la communication avec les personnes extérieures à l'institution. En octobre 2014, l'Electronic Frontier Foundation (EFF) inclut Signal dans son guide d'autodéfense contre la surveillance(16).