Apps de messagerie : Elles bousculent la sécurité des entreprises

Le succès d’une application de messagerie instantanée débute souvent dans une cour d’école et finit entre les mains… de PDG. De plus en plus de collaborateurs échangent des invitations, des images, mais aussi parfois des informations confidentielles sur WhatsApp, Telegram, Signal. Quelle stratégie adopter face à ce phénomène ? L’affaire a été révélée en décembre dernier par le New York Times. L’application de messagerie ToTok a été retirée de l’Apple Store et de Google Play après que le renseignement américain a estimé qu’il s’agissait en fait d’un logiciel d’espionnage au profit des services des Émirats Arabes Unis. L’histoire peut paraître anecdotique mais entre les failles de sécurité, les suspicions d’écoutes et pratiques quelquefois douteuses des éditeurs visà-vis des données qu’ils hébergent, les alertes se sont multipliées ces derniers mois. Dernièrement, soulignant les liens entre les développeurs de l’application TikTok et le gouvernement chinois, un sénateur américain a demandé le bannissement de l’application auprès des employés fédéraux, soulignant que, outre les énormes volumes de données qui transitent sur la plate-forme de l’application, une géolocalisation des employés du gouvernement américain représentait déjà un risque de sécurité majeur pour les États-Unis. On se souvient aussi des photos Snapchat qui, contrairement au principe même de l’application, restaient bel et bien stockées sur les serveurs. Même Telegram qui avait l’image de messagerie ultra-sécurisé laissait fuiter les adresses IP de ses utilisateurs via sa version desktop… Il y a quelques mois, WhatsApp, application qui compte 2 milliards d’utilisateurs, était victime d’une opération d’espionnage ciblée par des opérateurs étatiques, notamment l’Israélien NSO Group, société de cybersurveillance «offensive ». Une attaque suffisamment sérieuse pour que WhatsApp porte plainte contre cette société israélienne.

Fini l’eMail, les échanges migrent massivement vers les apps

Ces incidents sont le reflet de l’intérêt croissant porté par les services d’espionnage pour ces applications de messagerie instantanée. Alors que les États ont mis en place des moyens conséquents pour intercepter le trafic des e-mails, ces applications sécurisées sont devenues une priorité pour les agences car on assiste à un important report des communications vers ce type d’applications. WhatsApp, dont la fiabilité a été ébranlée par l’affaire Cambridge Analytica touchant sa maison mère Facebook, a attaqué en justice la société israélienne NSO Group pour espionnage. Une grande première dans le milieu cyber. « Ces systèmes de messagerie vantent leur sécurité et la confidentialité des échanges, mais aucune entreprise n’est en capacité de contrôler réellement le niveau de sécurité qu’elles offrent », souligne Gérôme Billois, Partner chez Wavestone. « WhatsApp par exemple, met en avant son chiffrement de bout en bout, or il est possible retrouver des groupes de discussion mal paramétrés via Google et les intégrer parfois sans même devoir être accepté par les membres du groupe. » L’expert en cybersécurité souligne que ces applications s’appuient généralement sur un serveur centralisé sur lequel on commence par télécharger son carnet d’adresses. L’utilisateur y est poussé car cela lui permet de voir qui, parmi ses contacts a déjà installé l’application. Cette centralisation est bien évidemment une aubaine pour les services de renseignement de tous poils car même si le serveur ne voit pas le contenu des messages si le chiffrement de bout en bout est bien implémenté, celui-ci dispose déjà de métadonnées intéressantes sur les échanges entre ses membres. Il existe bien une poignée d’applications de messaging en Peer to Peer comme Beechat, Sylo, ou même des apps s’appuyant sur une blockchain comme Dust, e-Chat ou Sense.chat, mais aucune ne parvient à réellement s’imposer. La start-up française Olvid (lire L’Informaticien n°184, p. 44) propose une nouvelle approche qui corrige les contraintes du peer-to-peer mais sans mettre en œuvre d’annuaire centralisé, véritable talon d’Achille des systèmes de type WhatsApp : « Le chiffrement de bout en bout est une promesse extraordinaire en termes de sécurité, mais l’architecture centralisée signifie que la plateforme joue le rôle de tiers de confiance pour l’ensemble des utilisateurs puisque c’est elle qui distribue les clés publiques lors de la création des conversations », explique Thomas Baignères, co-fondateur d’Olvid. « De notre point de vue cela n’a aucun sens en termes d’architecture de sécurité car la plate-forme a potentiellement la possibilité de manipuler l’identité d’un membre, se faire passer pour quelqu’un d’autre.» La start-up a implémenté une nouvelle technique d’échange de clefs basée sur le protocole SAS (Short Authentication String) qui permet de se passer d’annuaire. Son application est disponible sur les App Store pour le grand public depuis le mois de juin et compte à ce jour 10000 utilisateurs. Olvid souhaite proposer sa solution aux entreprises très prochainement. À l’image des applications de messagerie sécurisées, le Teorem, le téléphone ultra-sécurisé de Thales, offre certainement la meilleure garantie à son utilisateur de ne pas être écouté, mais son design désuet entraîne un phénomène de rejet immédiat par ses utilisateurs potentiels.

Difficile aujourd’hui d’interdire WhatsApp à tous les collaborateurs !

Alors que les apps grand-public se sont imposées dans les entreprises, un CISO peut-il laisser des commerciaux de son entreprise échanger des informations relatives à de gros contrats, ou les membres de son ComEx échanger sur leur stratégie d’entreprise via ces logiciels ? En dehors de quelques secteurs d’activité particuliers, généralement liés à la Défense, il est impossible pour un CISO d’interdire à tous les collaborateurs l’usage d’une application mobile de messagerie, en particulier sur leurs smartphones personnels. Il doit néanmoins alerter les collaborateurs sur les apps qui sont de vraies passoires et les guider vers des applications potentiellement plus sûres. Dernièrement, la Commission européenne a tapé du poing sur la table et a demandé à ses collaborateurs de basculer sur Signal pour leurs échanges quotidiens et d’utiliser des outils plus sécurisés pour les données sensibles. Signal bénéficie de l’aura d’Edward Snowden qui a déclaré en 2015 utiliser l’application tous les jours. Autre approche, celle de l’État français qui a déployé non sans mal sa propre application de messagerie chiffrée, Tchap. L’objectif était de maîtriser l’intégralité de la solution pour s’assurer de son niveau de confiance. « Tchap correspond à une logique de système maîtrisé », souligne Gérôme Billois, « On sait par qui il est développé, qui l’héberge, qui opère la plateforme. Ce type d’approche permet d’atteindre un haut niveau de confiance si on veut se protéger de services étrangers notamment. En revanche, cette approche a aussi montré qu’elle n’était pas exempte de tout défaut et qu’il y a des failles dans toutes les applications et que l’éditeur doit être très actif à pouvoir y répondre.» En entreprise, le CISO va devoir s’armer de beaucoup de courage pour interdire à son ComEx d’utiliser ces applications directement venues du grand public. Pourtant des solutions typées entreprises existent depuis des années, à commencer par BlackBerry BBM, mais aussi la messagerie CryptoPass et CryptoSmart d’Ercom (Thales), Citadel édité par Thales ou encore le fameux téléphone sécurisé Teorem de Thales, notamment utilisé dans les plus hautes sphères de l’État français. Ces applications et ces smartphones blindés qu’il s’agisse du Teorem ou de son rival Hoox d’Atos, constituent l’arme quasi ultime pour éviter toute fuite de données et pourtant… personne n’en veut. L’image d’un Emmanuel Macron au début de son quinquennat utilisant son iPhone plutôt que son Teorem officiel a fait le tour du Web. Les utilisateurs leur préfèrent bien souvent les applications à la mode dont tout le monde parle. « Si ces solutions professionnelles sont, par nature, préférables pour les entreprises qui souhaitent garder la maîtrise de leur sécurité, ces applications ne parviennent pas à rivaliser du point de vue ergonomie », souligne Loïc Guézo, secrétaire général du Clusif. Une nouvelle génération d’apps fera-telle changer d’avis les utilisateurs ?

« Les CISO sont mis devant le fait accompli »

Loïc Guézo, secrétaire général du Clusif

« Les responsables de la sécurité apprennent bien souvent que leur comité de direction a migré sur Telegram plusieurs jours, voire semaines, après coup. Les dirigeants se sont mis à créer des boucles Telegram, avec l’idée d’utiliser une application soi-disant sécurisée pour communiquer entre membres du ComEx. Par rapport aux solutions sécurisées que peut leur proposer leur CISO, l’image jeune et le côté très addictif de ces applications font la différence. Il est ensuite très difficile pour le CISO de demander à son ComEx de faire machine arrière. Paradoxalement, c’est une problématique de sécurité qui est de plus en plus mature chez les grands utilisateurs français, mais il n’y a pas de solution magique qui puissent répondre à leurs attentes, notamment en termes ergonomique. Ceux-ci leur préfèrent des applications grand public bien plus plaisantes à utiliser mais dont les garanties en matière de sécurité tombent les unes après les autres. Nous devons jouer ce rôle de sensibilisation et avertir les utilisateurs à chaque fois qu’une faille de sécurité est découverte. »

« La réalité du terrain s’oppose à l’approche théorique »

Gérôme Billois, partner chez Wavestone

« Utiliser des applications grand public pour communiquer en interne est maintenant une pratique très ancrée dans les entreprises. Des groupes sont créés de manière informelle entre les décideurs dans l’entreprise et même parfois des groupes où des membres de l’entreprise échangent en direct avec des contacts externes.» « Entre l’approche théorique où un collaborateur de l’entreprise ne doit utiliser que les moyens de communication mis à disposition par son entreprise et ce constat, il faut trouver le juste milieu. Le RSSI doit avant tout mener une analyse de risque et cerner exactement où se situe le besoin de sécurité dans l’entreprise. Il est impossible de demander à l’ensemble du personnel d’arrêter d’utiliser WhatsApp dans l’entreprise, en revanche il est légitime d’en restreindre l’usage sur certains projets, sur certaines populations – dont les dirigeants –, mais aussi certains commerciaux chargés des contrats importants. »