Le cas des SMS et des appels

Pourquoi et comment protéger ses SMS et ses appels ?

Pourquoi ?

Eh bien comme pour les mails, les opérateurs, les entreprises de télécommunication et les Etats n'ont aucun intérêt à améliorer la sécurité des protocoles de communications de téléphonie fixe et mobile, car cette faiblesse leur permet de tout intercepter.

Explication :
Très simplement, apprenez que toutes les technologies de réseau que nous avons utilisées jusqu'à l’arrivée de la 4G sont basées sur le système de signalisation n°7 (appelé en anglais : Signaling System #7 ou SS7). Le SS7 est un ensemble de protocoles de signalisation téléphonique qui sont utilisés dans la majorité des réseaux téléphoniques mondiaux.
Vous savez, lorsqu’on parle de 2G, 3G, 4G, en fait, ce sont des “générations” (G) de technologie de réseau mobile et depuis que vous avez un téléphone, vous avez surement vu leur acronyme s'afficher en haut de votre écran.
En voici la liste :

Génération Acronyme
1G AMPS
2G GSM
2.5G GPRS
2.75G EDGE
3G UMTS
3G+ ou H HSPA
3G++ ou H+ HSPA+
3.9G (ou 4G) LTE
4G (ou 4G+) LTE-advanced

Toutes les générations de technologie de réseau mobile jusqu'à l'arrivée de la LTE, utilisent le système de signalisation SS7. Par la suite, la LTE utilise le procotole DIAMETER.

Il a été prouvé à plusieurs reprises que la sécurité du SS7 est mauvaise et qu'elle est facilement contournable(1), même par un particulier avec une antenne radio à 400€ et des compétences dans le domaine(2). Mais pas seulement, les Etats se servent aussi de cette faible sécurité pour observer la population et les révélations Snowden ont montré que la NSA en profitait très largement.

Le résultat ?
A cause de cette faille, il est possible de connaître le contenu des messages ainsi que leurs métadonnéesLes métadonnées sont toutes les informations qui concernent une donnée à défaut de son contenu. et votre position GPS au moment de l'envoi ou de la réception d'un SMS/appel.
D'autre part, même le protocole DIAMETER utilisé par la LTE (ou 4G) est lui aussi facilement contournable. En effet, des recherches ont démontré que le chiffrement du réseau 4G n'était pas appliqué par défaut par les opérateurs, que les téléphones fonctionnent toujours en 2G et 3G pour l'envoi des SMS et des appels et enfin que beaucoup de communications 4G sont converties en 2G et 3G(3) et passent ainsi par les faiblesses du SS7.

Vous trouverez d'ailleurs des témoignages allemands et français au sujet de ces espionnages d'Etats dans le documentaire nothing to hide.

Le cas des téléphones Android
Sachez que si vous possédez un téléphone sous Android, Google récupère tout un tas de données concernant vos échanges SMS et vos appels comme : les contacts mis en relation, le numéro de téléphone, la durée d'un appel(4).

Et bien, même si cela vous étonne, comme pour les mails :

N'envoyez pas de messages sensibles qui pourrait jouer contre vous en justice.

Par exemple, n'organisez pas de manifestations par SMS.

En effet depuis les attentats de Charlie Hebdo en 2015, l'Etat a mis en place la fameuse loi relative au renseignement. Cela a notamment permis à l'état d'asseoir officiellement son espionnage des télécommunications nationales, en installant chez les opérateurs téléphoniques (et internet) des “boites noires” leur permettant d'observer tout ce qui y passe.

Bien que les activités de piratage soient souvent associées au domaine de l'informatique, l'Etat a beaucoup plus d'expérience dans l'espionnage des télécommunications.

(Vous trouverez un résumé très clair dans ces deux articles du Nouvel Obs. Article 1 et Article 2. Encore une fois, vous trouverez à ce sujet un témoignage français très intéressant dans le documentaire Nothing to hide.)

Oui

Le logo de Signal en 2020

Signal Messenger

gratuit
PC Mac Linux Android iPhone/iPad

Télécharger Signal (application en français)

Signal est une application qui fonctionne comme les SMS et les appels, mais qui chiffre automatiquement les communications effectuées entre les personnes.

De plus, contrairement aux SMS et appels qui nécessitent un réseau mobile pour fonctionner, Signal fonctionne avec n'importe quelle connexion à internet. Ainsi, même sans réseau sur votre téléphone, du moment que vous êtes connecté·e·s à internet sur un réseau wifi, vous pouvez envoyer des messages et passer des appels. Ces communications peuvent d'ailleurs se faire depuis votre téléphone et votre ordinateur. Pourquoi ? Car les SMS et les appels sont liés à votre identité en tant que client·e chez un opérateur et à votre identification sur ton réseau téléphonique (via la carte SIM et le numéro de téléphone). Signal est un service qui fonctionne via internet, il est donc indépendant du réseau mobile, et fonctionne tant que vous êtes connecté·e à internet.

Vous trouverez un guide d'utilisation de Signal sur un téléphone Android réalisé par l'Electronic Frontier Foundation (EFF) : https://ssd.eff.org/fr/module/guide-pratique-utiliser-signal-pour-android

Captures d'écran de l'application Signal

C'est un un chiffrement de bout en bout (cliquez pour lire l'article qui explique le chiffrement).

Ces clés sont gérées par chacune des applications Signal que vous avez installées. Ainsi, la gestion des clés est complètement transparente, rien n'est stocké sur les serveurs de Signal et l'application chiffre vos messages et vos appels directement sur votre appareil.
Tout ce qui passe par les serveurs de Signal est alors chiffré et illisible sauf pour les personnes concernées. De plus, dès que vous avez reçu les messages sur tous les appareils où vous avez installé Signal, les données sont effacées de leurs serveurs.
Pour terminer, sachez que Signal chiffre même les métadonnées.

Petit plus : du fait des capacités de transfert de données plus grandes avec un appel par Signal, par rapport à un protocole 3G ou 2G, la qualité de la voix est bien meilleure avec Signal 🙂 .

L’application Signal est développée par une fondation à but non lucratif, de sorte qu’elle ne peut jamais être achetée, n’a pas d’investisseurs et n’est “détenue” par personne.

Le 21 février 2018 Moxie Marlinspike et Brian Acton créent la Signal Fondation, une organisation à but non lucratif dont la mission est de «développer les technologies Open Source autour de la vie privée qui protègent la liberté d'expression et permet une communication mondiale sécurisée»(5). Cela leur permet de financer le développement de l'application Signal Messenger et du protocole de chiffrement Signal Protocol.

Initialement, le développement du protocole de chiffrement et de l'application de messagerie débute en 2010 grâce au travail de Moxie Marlinspike et de la startup Whisper Systems qu'il crée avec Stuart Anderson. A cette époque, le projet ne s'appelle pas Signal, mais TextSecure. Ils travaillent alors sur un protocole de chiffrement appelé “TextSecure Protocol”, un logiciel de messagerie appelé “TextSecure” et un logiciel de communication vocale appelé “RedPhone”.
En novembre 2011, Whisper Systems annonce son acquisition par le géant Twitter, ce qui posera problème par la suite pour le développement des projets(6).
Moxie Marlinspike quitte ensuite Twitter fin 2012 et fonde Open Whisper System en 2013 sous la forme d'un projet collaboratif Open Source et continue le développement de TextSecure et TextSecure Protocol.
En juillet 2014, l'entreprise annonce l'unification de Redphone et TextSecure qui prendra le nom de Signal Messenger et le protocole de chiffrement sera renommé en Signal Protocol.

Quant à Brian Acton, il est le co-fondateur de WhatsApp en 2009 et rejoint donc la maison mère Facebook après le rachat de WhatsApp par cette dernière en 2014. En avril 2016, WhatsApp intègre le chiffrement de bout en bout pour toutes les communications. Pour cela, elle utilise le Signal Protocol développé par Moxie Marlinspike.(7). En 2017, Brian Acton quitte Facebook après un désaccord avec la société sur la monétisation du service par la revente des données des ses utilisateur·trice·s. Il explique d'ailleurs dans une interview à Forbes qu'il a été coaché par les dirigeants de Facebook pour tromper les régulateurs européens concernant l'intention de Facebook de fusionner les données des utilisateurs de Facebook et de WhatsApp (8).

Le 21 février 2018, la fondation Signal créée par Moxie Marlinspike et Brian Acton prend le relais de Open Whisper Systems dans le soutien au développement de Signal Messenger et Signal Protocol. Un développement qui est et restera toujours Open Source.

Logo de Whatsapp

Comme nous venons de le voir, Whatsapp utilise depuis 2016 le même protocole de chiffrement appelé “Signal protocole”.

Cependant :

  • Whatsapp (ou Facebook) ne chiffre pas les métadonnées ? afin d'en récupérer les informations. Des informations que Facebook croise avec celles de ses autres réseaux sociaux (Facebook, Instagram…) et qu'il revend.
  • Whatsapp a modifié le protocole Signal pour permettre à une personne (une entreprise ou un gouvernement par exemple) de se mettre au milieu de la conversation, sans que cela ne soit visible. Un procédé de piratage appelé Man In The Middle.
  • Les clés sont gérées par Whatsapp et la validation des clés entre deux personnes n'est pas obligatoire pour communiquer. Quelqu'un peut pirater un compte et se faire passer pour une personne.

Sources (cliquez pour afficher)

Logo de Telegram

En effet, cette application a gagné en popularité ces dernières années, mettant en avant un chiffrement et un anonymat de ses conversations. Néanmoins, de nombreuses interrogations subsistent quant à la sécurité et au respect de la vie privée promis par cette application.

Plusieurs points notables :

  • Le chiffrement des messages est possible mais n'est pas activé par défaut : si vous n'activez pas la fonction, les messages sont stockés sur les serveurs de l'application et lisibles par Telegram.
  • Les serveurs chiffrés le sont avec une méthode propriétaire (l'inverse d'un système libre comme celui de Signal) conçue par le frère du fondateur, Nikolaï Durov, ce qui fait qu'on ne peut pas savoir précisément comment les données sont chiffrées. Ainsi, on ne sait pas qui peut y avoir accès. Ce fonctionnement opaque permettrait notamment aux développeurs de désactiver le chiffrement d'une conversation entre deux utilisateurs·trices s'ils le souhaitent(9). De plus, est considéré comme moins solide que ceux de ses concurrents (plusieurs failles de sécurité importantes y ont été décou- vertes en 2021)(10)
  • Le 20 juin 2022, Telegram a lancé une offre payante “premium”, limitant ainsi ses fonctionnalités gratuites pour faire de l'argent(11).
  • Très utilisée par les terroristes, l'application est aujourd'hui censurée dans plusieurs pays et dans le collimateur de nombreux services de sécurité gouvernementaux. Si cela ne peut que conforter sur l'intégrité de Telegram qui pousse certaines autorités à le censurer, il reste une interrogation peu rassurante: avec leur système propriétaire de chiffrement, on ne peut pas savoir si des gouvernements ont pu négocier des portes d'accès aux communications échangées.
  • L'application appartient à deux milliardaires Russes(12) qui ont le désir de monétiser leur système en introduisant de la publicité dans les groupes publics et des fonctionnalités payantes. (13,14).
  • Telegram, qui était censurée depuis 2018 en Russie (le pays d'origine de son développeur Pavel Durov), a été de nouveau autorisée en juin 2020. S'il peut s'agir de l'aveu du gouvernement d'un échec à empêcher l'utilisation de Telegram (au sein même de ses propres fonctionnaires), la raison mentionnée par la Russie et son développeur pose certaines questions.
    En effet, La Russie considère que Telegram a suffisamment amélioré sa technologie de recherche et de suppression de contenus extrémistes et terroristes sans empiéter sur la vie privée des utilisateurs. Cette révélation se fait dans l'ignorance la plus totale de la façon dont Telegram procède pour “filtrer” et “supprimer” des contenus auxquels elle n'a soit disant pas accès (grâce au chiffrement de bout-en-bout). Enfin, le cheval de bataille de l’extrémisme pourrait masquer d'autres dérives de surveillance dans un pays où l'on sait qu'il n'est pas autorisé de s'exprimer librement où de vivre lorsqu'on est homosexuel·le(15).


Plus de détails dans cet article du Blog d'Herminien : https://blog.pcet.link/posts/pourquoi-signal-et-pas-telegram
Pour plus de détails également, vous pouvez jeter un œil sur cet article de France Inter Wire, Signal, Telegram, WhatsApp : quelle application choisir pour ne pas se faire épier ?

Captures d'écran de l'application Signal

Je ne peux que vous recommander d'utiliser Signal et d'encourager votre entourage à le faire également.

Mes parents et des dizaines d'ami·e·s à moi l'utilisent et je m'en sers plus que les SMS. D'ailleurs, si vous avez un smartphone sous Android (pas un iPhone quoi), vous pouvez installer Signal comme application de SMS par défaut ! Ça veut dire quoi ? Que si votre correspondant·e a aussi installé Signal, vos communications seront automatiquement chiffrées, si ce n'est pas le cas, vous communiquerez par SMS, mais dans la même application !

Enfin, depuis février 2020, la Commission européenne recommande l'utilisation de Signal à son personnel pour la communication avec les personnes extérieures à l'institution. En octobre 2014, l'Electronic Frontier Foundation (EFF) inclut Signal dans son guide d'autodéfense contre la surveillance(16).

Le logo de Signal en 2020

Signal Messenger

gratuit
PC Mac Linux Android iPhone/iPad

Télécharger Signal (application en français)

  • Dernière modification : 20 June 2022
  • de herminien