Nous rapportions la semaine dernière que Google testait le chiffrement de bout en bout pour son application Messages sur Android. Il semblerait toutefois que ce dispositif présente certaines limites.
Les RCS, ou Rich Communications Services sont adoptés par la majorité des opérateurs mobiles à travers le monde. Le but : proposer un standard afin de concurrencer les messageries propriétaires de WhatsApp chez Facebook et d'iMessage chez Apple. De son côté, Google a pris le parti de les implémenter au sein de son application Messages sur Android. Mais selon Forbes, les RCS présenteraient toujours des failles de sécurité.
Un chiffrement partiel
Google annonçait récemment la possibilité de s'inscrire en tant que beta testeur afin d'évaluer une couche de chiffrement pour l'application Messages. Concrètement l'objectif est qu'à terme, les messages envoyés entre deux utilisateurs de l'application soient chiffrés de bout en bout.
Pour profiter de ce chiffrement, il est nécessaire de se rendre dans les options et d'activer les fonctionnalités de chat reposant sur les Rich Communication Services. Cependant, Forbes explique que cela ne fonctionne strictement qu'entre deux utilisateurs.
« Le déploiement du chiffrement de bout en bout sur les RCS n'est pas disponible pour les groupes - ce serait à priori trop compliqué à mettre en place pour le moment. Et aucune information n'a été communiquée sur la date de déploiement de cette mise à jour limitée ».
Pas de standard sécurisé
Avec Messages, Google a réussi un tour de force en proposant le standard RCS auprès de plus d'un milliard de personnes à travers le monde. Mais le chiffrement n'est pas entièrement de la partie bien que cette période de crise sanitaire soit propice aux discussions de groupe.
À l'heure actuelle, pour profiter du chiffrement sur les messages de groupes, il faut encore passer par une application ne reposant pas sur les RCS. De fait, WhatsApp et ses 2,5 milliards d'utilisateurs a encore de beaux jours devant elle.
Toutefois, à y regarder de plus près, la gestion du chiffrement sur WhatsApp ne serait pas optimale non plus. Thomas Baignères, fondateur de la messagerie sécurisée française Olvid, expliquait récemment que WhatsApp dispose d'un annuaire répertoriant les 2,5 milliards de numéros de téléphone et clés publiques de ses utilisateurs pour opérer le chiffrement. Or la sécurité de ce répertoire laisserait à désirer.
Les vulnérabilités du SMS
Selon une étude du cabinet Security Research Labs, la technologie RCS n'apporte aucune sécurité supplémentaire pour résoudre les vulnérabilités du SMS. Des personnes malintentionnées sont ainsi en mesure de prendre le contrôle des comptes utilisateurs en récupérant les fichiers de configuration RCS contenant les informations SIP et HTTP.
Mais au fait, pourquoi le SMS est-il vulnérable ?
Lors de l'envoi d'un SMS, ce dernier transite de manière sécurisée jusqu'à l'antenne relais la plus proche. Cependant, cette couche de chiffrement disparait au sein de l'architecture du réseau.
Plusieurs intrusions ont alors été orchestrées sur les architectures des opérateurs mobiles. Le mois dernier, ce sont les opérateurs Israéliens qui en ont subi les frais. L'année dernière, des hackers chinois avaient également déployé des attaques similaires.
Source : Forbes