Dans un monde où la sécurité numérique et la confidentialité occupent une place croissante, les géants de la technologie comme Google sont régulièrement scrutés pour leurs pratiques et promesses en matière de protection des données. Récemment, Google a fait face à des critiques concernant des affirmations qualifiées de « trompeuses » sur le chiffrement dans son application de messagerie.Le chiffrement : un argument marketing clé
Le chiffrement des messages est devenu un élément incontournable pour les applications de communication modernes. Le chiffrement est un outil essentiel pour garantir la confidentialité des communications numériques. Le chiffrement de bout en bout, en particulier, assure que seuls l’expéditeur et le destinataire peuvent lire les messages échangés, même en cas d’interception par des tiers. Cette technologie est devenue un argument de vente majeur pour les applications de messagerie, dans un contexte où les violations de données et les cyberattaques sont monnaie courante.
Google, avec son application Messages, met en avant l’utilisation du chiffrement de bout en bout pour assurer la sécurité de ses utilisateurs. Cependant, plusieurs experts en cybersécurité et défenseurs de la vie privée reprochent à l’entreprise une communication trompeuse, qui donnerait l’impression que toutes les conversations sont automatiquement sécurisées, alors qu’en réalité, des exceptions notables existent.
En effet, la boutique d'applications de Google affirme que son application de messagerie textuelle Google Messages signifie que « les conversations sont chiffrées de bout en bout ».
Des zones d’ombre sur l'implémentation
L’une des principales critiques repose sur le fait que le chiffrement de bout en bout n’est activé que dans certaines conditions, notamment lorsque les utilisateurs communiquent via le protocole RCS (Rich Communication Services). Ce protocole, censé remplacer les SMS traditionnels, nécessite que les deux parties disposent d’appareils compatibles et utilisent l’application Messages de Google. En dehors de ces scénarios, les messages ne bénéficient pas de la même protection, ce qui les rend vulnérables à une interception. Ce détail, bien que technique, est rarement expliqué de manière claire aux utilisateurs.
En clair, pour que le chiffrement fonctionne, les deux parties doivent :
- Utiliser des appareils compatibles avec le RCS.
- Avoir activé Google Messages comme application de messagerie par défaut.
- Être connectées à Internet, car le RCS ne fonctionne pas hors ligne comme les SMS classiques.
De plus, certains experts pointent une communication floue autour de ces limites. Alors que Google promeut le chiffrement comme une fonctionnalité omniprésente, beaucoup d’utilisateurs ne réalisent pas que leurs conversations ne sont pas toujours protégées. Cette ambiguïté pourrait donner un faux sentiment de sécurité et compromettre la confidentialité des utilisateurs.
Une communication ambiguë
Ce manque de clarté dans la communication de Google a conduit de nombreux utilisateurs à croire, à tort, que toutes leurs conversations étaient sécurisées, indépendamment des circonstances. Les défenseurs de la vie privée dénoncent cette approche comme un exemple de stratégie consistant à mettre en avant la sécurité comme argument commercial, tout en minimisant les limites réelles du service.
Cette ambiguïté pose un problème : si les utilisateurs pensent que leurs conversations sensibles, comme des données financières ou personnelles, sont protégées, ils pourraient prendre des risques inutiles. Ce faux sentiment de sécurité pourrait exposer ces utilisateurs à des cyberattaques ou à des violations de confidentialité.
John Gruber : « C'est du grand n'importe quoi »
Ci-dessous, un extrait de son billet :
Il est honteusement trompeur en ce qui concerne la prise en charge du chiffrement de bout en bout par Google Messages... Google Messages prend effectivement en charge le chiffrement de bout en bout, mais uniquement via RCS et à condition que tous les participants à la discussion utilisent une version récente de Google Messages. Mais la deuxième capture d'écran de la liste du Play Store déclare carrément que « les conversations sont chiffrées de bout en bout », point final...
Je me rends compte que « Certaines conversations sont chiffrées de bout en bout » suscitera naturellement la curiosité de savoir quelles conversations sont chiffrées et lesquelles ne le sont pas, mais c'est la vérité. Et les utilisateurs de l'application doivent en être conscients. La mention « Les conversations RCS avec d'autres utilisateurs de Google Messages sont cryptées » conviendrait parfaitement.
Ensuite, dans la section « bilan » de la liste, il est indiqué ce qui suit :
Les données sont cryptées en transit
Vos données sont transférées via une connexion sécurisée
Ce qui, encore une fois, n'est vrai que parfois. Il est tout à fait frauduleux de décrire ainsi la sécurité du transit de Google Messages. Imaginez un utilisateur typique d'Android, sans expertise technique, qui suit le conseil (émanant maintenant du FBI) d'utiliser le chiffrement de bout en bout pour sa messagerie. Une personne raisonnable qui fait confiance à Google regarderait la propre description de Google Messages et en conclurait que si vous utilisez Google Messages, tous vos messages seront sécurisés. C'est faux. Et selon les personnes avec lesquelles vous communiquez - utilisateurs d'iPhone, utilisateurs d'Android avec d'anciens appareils, utilisateurs d'Android qui utilisent d'autres applications de messagerie textuelle - il est fort probable que la plupart de vos messages ne seront pas sécurisés.
Soyez honnête ! L'E2EE entre les utilisateurs de Google Messages utilisant des téléphones Android qui prennent en charge le RCS est totalement transparent et automatique (je viens de l'essayer moi-même), mais l'E2EE n'est jamais disponible pour les SMS, et jamais disponible si un participant à la discussion utilise un client RCS (sur Android ou Apple Messages) autre que Google Messages. C'est une distinction essentielle qui devrait être claire, et non obscurcie.
Pendant que j'y suis, il est également embarrassant que Google Voice ne prenne pas du tout en charge le RCS. Il s'agit d'une application et d'un service propres à Google, et Google a été le plus ardent défenseur de la messagerie RCS dans le monde.
Enfin, je pense également que c'est une mauvaise idée que Google Messages colore toutes les bulles de messages RCS avec exactement les mêmes couleurs (bulles bleu foncé avec texte blanc, natch). Les SMS, du moins sur mon Pixel 4, sont bleu pâle avec du texte noir. Google Messages met un petit cadenas dans la timeline pour indiquer qu'une discussion RCS est sécurisée, et il y a aussi un cadenas sur l'icône de l'avion en papier du bouton Envoyer, donc il y a des indications visuelles pour savoir si une discussion RCS est chiffrée, mais comme les couleurs des bulles de messages sont les mêmes pour toutes les discussions RCS, c'est subtil et ce n'est pas instantanément évident comme c'est le cas avec Apple Messages, où le vert signifie « SMS ou RCS, jamais chiffré » et le bleu signifie « iMessage, toujours chiffré ».
Les autorités américaines exhortent les Américains à utiliser des applications chiffrées pour les SMS et les appels
Les États-Unis sont aux prises avec ce qui est décrit comme le pire piratage de télécommunications de l’histoire du pays, attribué à des attaquants chinois parrainés par l’État, Salt Typhoon.
Salt Typhoon a réussi à pénétrer au cœur des infrastructures télécoms américaines (notamment AT&T, Verizon et T-Mobile), leur offrant un accès direct à des millions d’appels, de messages, et d’e-mails. Cette intrusion permet une surveillance à grande échelle de citoyens, d’entreprises et de responsables gouvernementaux. En exploitant des vulnérabilités dans des systèmes d’encryptage prétendument sécurisés, les hackers ont démontré que les failles intentionnelles – souvent imposées pour des raisons de surveillance étatique – peuvent se retourner contre leurs propres instigateurs. En raison de l’ampleur de la brèche, il a été extrêmement difficile d’éradiquer les attaquants des systèmes compromis.
Les autorités américaines et les experts en cybersécurité sont alarmés par l’ampleur de l’attaque. L’infiltration de Salt Typhoon dépasse de loin les capacités des cyberattaques traditionnelles, ciblant des points névralgiques rarement exposés à des menaces externes.
Selon les experts en cybersécurité, les attaquants ont déployé des outils sophistiqués, notamment un rootkit du noyau Windows appelé Demodex, pour obtenir et conserver l’accès à ces réseaux. Leur infiltration leur a permis non seulement d’écouter les conversations, mais aussi d’extraire le trafic Internet général et d’autres données sensibles. « Étant donné l’état de la détection, il nous est impossible de prédire quand nous parviendrons à chasser complètement les attaquants de ces réseaux », a déclaré Jeff Greene, directeur adjoint exécutif chargé de la cybersécurité à la CISA, lors d’une conférence de presse.
Dans un avertissement publié cette semaine, les autorités américaines ont admis qu’elles n’avaient pas été en mesure d’expulser complètement les pirates informatiques parrainés par l’État chinois des réseaux des principaux fournisseurs de services de télécommunications et d’internet. Alors que la brèche continue de compromettre des communications sensibles, les autorités ont exhorté les utilisateurs concernés à passer à des services de messagerie et d’appels vocaux chiffrés.
Conclusion
Cet incident soulève des questions plus larges sur la responsabilité des entreprises technologiques dans la protection des données personnelles. Dans un monde où les menaces numériques se multiplient, les utilisateurs ont besoin de garanties solides et de messages clairs pour faire des choix éclairés.
Les entreprises, qu’il s’agisse de Google ou d’autres géants du secteur, doivent comprendre que la sécurité ne peut pas être un simple argument marketing. Elle doit être un pilier fondamental de leurs services. À défaut, elles risquent non seulement de perdre la confiance de leurs utilisateurs, mais aussi de faire face à une régulation accrue de la part des gouvernements et des autorités compétentes.
En définitive, le débat autour de Google Messages est un rappel de l’importance de la transparence et de la fiabilité dans le domaine de la cybersécurité. À l’ère numérique, la confiance des utilisateurs est un bien précieux, et les entreprises qui savent en faire une priorité auront un avantage durable sur le long terme.
Google MessageSource : John Gruber
Et vous ?
Que pensez-vous de l'argumentation de John Gruber ? Partagez-vous son avis ? Êtes-vous surpris de voir une communication ambiguë de la part de Google concernant l'un de ses produits ? Dans quelle mesure ? Y a-t-il d'autres produits, de Google ou de la concurrence, où vous avez pu lire une communication ambiguë ? Le faux sentiment de sécurité généré par une communication ambiguë peut-il être considéré comme une forme de négligence envers les utilisateurs ? Quels sont les risques pour les utilisateurs qui croient, à tort, que toutes leurs conversations sont chiffrées ?