Dans un monde o la scurit numrique et la confidentialit occupent une place croissante, les gants de la technologie comme Google sont rgulirement scruts pour leurs pratiques et promesses en matire de protection des donnes. Rcemment, Google a fait face des critiques concernant des affirmations qualifies de trompeuses sur le chiffrement dans son application de messagerie.
Le chiffrement : un argument marketing cl
Le chiffrement des messages est devenu un lment incontournable pour les applications de communication modernes. Le chiffrement est un outil essentiel pour garantir la confidentialit des communications numriques. Le chiffrement de bout en bout, en particulier, assure que seuls lexpditeur et le destinataire peuvent lire les messages changs, mme en cas dinterception par des tiers. Cette technologie est devenue un argument de vente majeur pour les applications de messagerie, dans un contexte o les violations de donnes et les cyberattaques sont monnaie courante.
Google, avec son application Messages, met en avant lutilisation du chiffrement de bout en bout pour assurer la scurit de ses utilisateurs. Cependant, plusieurs experts en cyberscurit et dfenseurs de la vie prive reprochent lentreprise une communication trompeuse, qui donnerait limpression que toutes les conversations sont automatiquement scurises, alors quen ralit, des exceptions notables existent.
En effet, la boutique d’applications de Google affirme que son application de messagerie textuelle Google Messages signifie que les conversations sont chiffres de bout en bout .
Des zones dombre sur l’implmentation
Lune des principales critiques repose sur le fait que le chiffrement de bout en bout nest activ que dans certaines conditions, notamment lorsque les utilisateurs communiquent via le protocole RCS (Rich Communication Services). Ce protocole, cens remplacer les SMS traditionnels, ncessite que les deux parties disposent dappareils compatibles et utilisent lapplication Messages de Google. En dehors de ces scnarios, les messages ne bnficient pas de la mme protection, ce qui les rend vulnrables une interception. Ce dtail, bien que technique, est rarement expliqu de manire claire aux utilisateurs.
En clair, pour que le chiffrement fonctionne, les deux parties doivent :
- Utiliser des appareils compatibles avec le RCS.
- Avoir activ Google Messages comme application de messagerie par dfaut.
- tre connectes Internet, car le RCS ne fonctionne pas hors ligne comme les SMS classiques.
De plus, certains experts pointent une communication floue autour de ces limites. Alors que Google promeut le chiffrement comme une fonctionnalit omniprsente, beaucoup dutilisateurs ne ralisent pas que leurs conversations ne sont pas toujours protges. Cette ambigut pourrait donner un faux sentiment de scurit et compromettre la confidentialit des utilisateurs.
Une communication ambigu
Ce manque de clart dans la communication de Google a conduit de nombreux utilisateurs croire, tort, que toutes leurs conversations taient scurises, indpendamment des circonstances. Les dfenseurs de la vie prive dnoncent cette approche comme un exemple de stratgie consistant mettre en avant la scurit comme argument commercial, tout en minimisant les limites relles du service.
Cette ambigut pose un problme : si les utilisateurs pensent que leurs conversations sensibles, comme des donnes financires ou personnelles, sont protges, ils pourraient prendre des risques inutiles. Ce faux sentiment de scurit pourrait exposer ces utilisateurs des cyberattaques ou des violations de confidentialit.
John Gruber : C’est du grand n’importe quoi
Ci-dessous, un extrait de son billet :
Il est honteusement trompeur en ce qui concerne la prise en charge du chiffrement de bout en bout par Google Messages… Google Messages prend effectivement en charge le chiffrement de bout en bout, mais uniquement via RCS et condition que tous les participants la discussion utilisent une version rcente de Google Messages. Mais la deuxime capture d’cran de la liste du Play Store dclare carrment que les conversations sont chiffres de bout en bout , point final…
Je me rends compte que Certaines conversations sont chiffres de bout en bout suscitera naturellement la curiosit de savoir quelles conversations sont chiffres et lesquelles ne le sont pas, mais c’est la vrit. Et les utilisateurs de l’application doivent en tre conscients. La mention Les conversations RCS avec d’autres utilisateurs de Google Messages sont cryptes conviendrait parfaitement.
Ensuite, dans la section bilan de la liste, il est indiqu ce qui suit :
Les donnes sont cryptes en transit
Vos donnes sont transfres via une connexion scurise
Ce qui, encore une fois, n’est vrai que parfois. Il est tout fait frauduleux de dcrire ainsi la scurit du transit de Google Messages. Imaginez un utilisateur typique d’Android, sans expertise technique, qui suit le conseil (manant maintenant du FBI) d’utiliser le chiffrement de bout en bout pour sa messagerie. Une personne raisonnable qui fait confiance Google regarderait la propre description de Google Messages et en conclurait que si vous utilisez Google Messages, tous vos messages seront scuriss. C’est faux. Et selon les personnes avec lesquelles vous communiquez – utilisateurs d’iPhone, utilisateurs d’Android avec d’anciens appareils, utilisateurs d’Android qui utilisent d’autres applications de messagerie textuelle – il est fort probable que la plupart de vos messages ne seront pas scuriss.
Soyez honnte ! L’E2EE entre les utilisateurs de Google Messages utilisant des tlphones Android qui prennent en charge le RCS est totalement transparent et automatique (je viens de l’essayer moi-mme), mais l’E2EE n’est jamais disponible pour les SMS, et jamais disponible si un participant la discussion utilise un client RCS (sur Android ou Apple Messages) autre que Google Messages. C’est une distinction essentielle qui devrait tre claire, et non obscurcie.
Pendant que j’y suis, il est galement embarrassant que Google Voice ne prenne pas du tout en charge le RCS. Il s’agit d’une application et d’un service propres Google, et Google a t le plus ardent dfenseur de la messagerie RCS dans le monde.
Enfin, je pense galement que c’est une mauvaise ide que Google Messages colore toutes les bulles de messages RCS avec exactement les mmes couleurs (bulles bleu fonc avec texte blanc, natch). Les SMS, du moins sur mon Pixel 4, sont bleu ple avec du texte noir. Google Messages met un petit cadenas dans la timeline pour indiquer qu’une discussion RCS est scurise, et il y a aussi un cadenas sur l’icne de l’avion en papier du bouton Envoyer, donc il y a des indications visuelles pour savoir si une discussion RCS est chiffre, mais comme les couleurs des bulles de messages sont les mmes pour toutes les discussions RCS, c’est subtil et ce n’est pas instantanment vident comme c’est le cas avec Apple Messages, o le vert signifie SMS ou RCS, jamais chiffr et le bleu signifie iMessage, toujours chiffr .
Les autorits amricaines exhortent les Amricains utiliser des applications chiffres pour les SMS et les appels
Les tats-Unis sont aux prises avec ce qui est dcrit comme le pire piratage de tlcommunications de lhistoire du pays, attribu des attaquants chinois parrains par ltat, Salt Typhoon.
Salt Typhoon a russi pntrer au cur des infrastructures tlcoms amricaines (notamment AT&T, Verizon et T-Mobile), leur offrant un accs direct des millions dappels, de messages, et de-mails. Cette intrusion permet une surveillance grande chelle de citoyens, dentreprises et de responsables gouvernementaux. En exploitant des vulnrabilits dans des systmes dencryptage prtendument scuriss, les hackers ont dmontr que les failles intentionnelles souvent imposes pour des raisons de surveillance tatique peuvent se retourner contre leurs propres instigateurs. En raison de lampleur de la brche, il a t extrmement difficile dradiquer les attaquants des systmes compromis.
Les autorits amricaines et les experts en cyberscurit sont alarms par lampleur de lattaque. Linfiltration de Salt Typhoon dpasse de loin les capacits des cyberattaques traditionnelles, ciblant des points nvralgiques rarement exposs des menaces externes.
Selon les experts en cyberscurit, les attaquants ont dploy des outils sophistiqus, notamment un rootkit du noyau Windows appel Demodex, pour obtenir et conserver laccs ces rseaux. Leur infiltration leur a permis non seulement dcouter les conversations, mais aussi dextraire le trafic Internet gnral et dautres donnes sensibles. tant donn ltat de la dtection, il nous est impossible de prdire quand nous parviendrons chasser compltement les attaquants de ces rseaux , a dclar Jeff Greene, directeur adjoint excutif charg de la cyberscurit la CISA, lors dune confrence de presse.
Dans un avertissement publi cette semaine, les autorits amricaines ont admis quelles navaient pas t en mesure dexpulser compltement les pirates informatiques parrains par ltat chinois des rseaux des principaux fournisseurs de services de tlcommunications et dinternet. Alors que la brche continue de compromettre des communications sensibles, les autorits ont exhort les utilisateurs concerns passer des services de messagerie et dappels vocaux chiffrs.
Conclusion
Cet incident soulve des questions plus larges sur la responsabilit des entreprises technologiques dans la protection des donnes personnelles. Dans un monde o les menaces numriques se multiplient, les utilisateurs ont besoin de garanties solides et de messages clairs pour faire des choix clairs.
Les entreprises, quil sagisse de Google ou dautres gants du secteur, doivent comprendre que la scurit ne peut pas tre un simple argument marketing. Elle doit tre un pilier fondamental de leurs services. dfaut, elles risquent non seulement de perdre la confiance de leurs utilisateurs, mais aussi de faire face une rgulation accrue de la part des gouvernements et des autorits comptentes.
En dfinitive, le dbat autour de Google Messages est un rappel de limportance de la transparence et de la fiabilit dans le domaine de la cyberscurit. lre numrique, la confiance des utilisateurs est un bien prcieux, et les entreprises qui savent en faire une priorit auront un avantage durable sur le long terme.
Source : John Gruber
Et vous ?
Que pensez-vous de l’argumentation de John Gruber ? Partagez-vous son avis ?
tes-vous surpris de voir une communication ambigu de la part de Google concernant l’un de ses produits ? Dans quelle mesure ?
Y a-t-il d’autres produits, de Google ou de la concurrence, o vous avez pu lire une communication ambigu ?
Le faux sentiment de scurit gnr par une communication ambigu peut-il tre considr comme une forme de ngligence envers les utilisateurs ?
Quels sont les risques pour les utilisateurs qui croient, tort, que toutes leurs conversations sont chiffres ?