Malheureusement, des algorithmes de chiffrements très fragiles (page en anglais), loin d’être sécurisés, sont toujours permis par les normes des réseaux mobiles. Par exemple, des attaquants peuvent assez facilement casser le chiffrement des communications par SMS et lire le contenu de vos messages. Sur les réseaux mobiles, le trafic est généralement seulement chiffré de votre téléphone à la station de base. Le chiffrement y est déchiffré et les messages sont ensuite transmis en texte en clair.
De plus en plus d’applications utilisent désormais le chiffrement de bout en bout : dès que le trafic est chiffré sur votre ordinateur (ou votre téléphone), l’information transite de façon chiffrée jusqu’au destinataire qui déchiffre le message. Si le chiffrement est mis en place de façon sécurisée, aucun tiers ne peut déchiffrer le message sans la clé qui est uniquement présente sur l’ordinateur du destinataire. La seule façon pour l’attaquant(e) de déchiffrer un message est de s’introduire dans votre appareil ou dans l’ordinateur du destinataire afin de surveiller la communication. Songez un instant aux exemples de chiffrement de la partie précédente. Si le chiffre est sécurisé et si la clé est gardée secrète, seul le destinataire peut déchiffrer les messages.
Quelques exemples d’applications de communication employant le chiffrement de bout en bout :
Signal
Telegram
WhatsApp
Facebook Messenger
Parmi ces applications, Signal utilise des implémentations open source. Cela signifie qu’elles sont ouvertes et consultables par quiconque le souhaite (au contraire de la sécurité par l’obscurité). On considère généralement que les algorithmes de l’application Signal sont sécurisés. Ils ont été énormément étudiés. Les implémentations open source vérifiées ont un avantage net : une fois que l’on a prouvé qu’elles étaient sécurisées, d’autres peuvent ensuite s’en servir. Le protocole de Signal, par exemple, est également utilisé par l’application WhatsApp.
Beaucoup estiment que Telegram ne respecte pas la première règle de la cryptographie (ne pas mettre en place son propre système cryptographique), car ses fondateurs ont créé leur propre protocole. De nombreuses critiques ont été formulées à l’égard de ce protocole et certains chercheurs estiment qu’il est cassé. Des vulnérabilités ont d’ailleurs déjà été montrées du doigt. Celles-ci ont été corrigées, mais il n’en reste pas moins que certains pensent toujours qu’il vaut mieux éviter de se fier au caractère confidentiel de l’implémentation cryptographique de Telegram. À l’heure actuelle, l’implémentation cryptographique de Telegram n’a cependant pas de vulnérabilité connue.
Facebook Messenger comporte une fonction « conversation secrète » qui est chiffrée de bout en bout. C’est toutefois une option et pas un réglage par défaut. Les groupes de dialogue en ligne ne sont pas chiffrés de bout en bout. Ils ne peuvent donc pas être considérés comme sécurisés.
Si la confidentialité est pour vous une priorité sur les applications de messagerie, Signal et WhatsApp (malgré quelques réserves pour cette dernière) semblent être les choix les plus sécurisés. N’utilisez pas de SMS pour vos communications confidentielles.
La liste ci-dessus contient des éléments que vous créez par vous-même. Mais songez également à toutes les informations recueillies par vos appareils : coordonnées GPS, données d’usage de vos applications, périodes d’activité, données de santé, comme votre fréquence cardiaque, etc. À partir de ces fragments d’information, les attaquants peuvent établir une image assez détaillée de votre vie quotidienne : votre domicile, les lieux où vous vous rendez régulièrement, les personnes que vous rencontrez, votre lieu de travail, vos possibles pathologies...
On sait que certains pays surveillent les communications de leurs citoyens en vue de contrôler les flux d’information et d’espionner les dissidents politiques. Dans certains de ces pays, le chiffrement de bout en bout est même parfois interdit par les gouvernements qui exigent que des portes dérobées et des points faibles soient intégrés aux technologies pour casser le chiffrement et passer outre la confidentialité des messages. Afin de déterminer si cela représente un facteur de risque pour vous, consultez les lois du pays où vous vous trouvez et des pays des destinataires et émetteurs de vos messages.