Le secrétaire d’État a annoncé vendredi 13 avril un projet de messagerie publique chiffrée de bout en bout, interne à l’État, et destinée à remplacer Telegram auprès des parlementaires et des ministres. Cependant, il existe déjà un certain nombre de solutions déjà disponibles.

Ce n’est pas une surprise : la classe politique française se sert beaucoup de Telegram pour discuter discrètement, par crainte de voir certains propos sensibles fuiter dans la presse ou faire l’objet d’une interception. Dans l’entourage d’un certain nombre de dirigeants politiques de premier plan, quand ce ne sont pas ces personnalités elles-mêmes, l’application de messagerie s’est très vite imposée sans que l’on sache trop pourquoi.

Même Emmanuel Macron, lorsqu’il était engagé dans la campagne électorale de 2017 pour la présidence de la République, a délaissé son téléphone de ministre de l’économie, de l’industrie et du numérique alors qu’il bénéficiait d’un certain niveau de sécurité,du fait de son statut. Pour son activité militante, l’intéressé a préféré passer ses communications via l’application installée sur son smartphone personnel.

macron-emmanuel
CC Aron Urb

Sécurité insuffisante de Telegram

Le problème, c’est que la sécurité fournie par Telegram est variable : si le mode Secret Chat n’est pas activé, alors les conversations échangées entre deux utilisateurs ne bénéficient pas du chiffrement de bout en bout, qui garantit que seuls les participants à une discussion sont en mesure d’accéder à ce qui est dit. Mais encore faut-il avoir connaissance de cette subtilité.

Quant au reste, « Telegram n’effectue aucun chiffrement pour les messages de groupe, même s’il se présente sous la forme d’un messagerie chiffrée  », C’est ce qu’a récemment  critiqué Moxie Marlinspike, un hacktiviste et développeur du protocole Signal, une solution de chiffrement de bout en bout utilisée par Signal mais aussi WhatsApp et dont la qualité est régulièrement signalée.

« Telegram n’effectue aucun chiffrement pour les messages de groupe, même s’il se présente sous la forme d’un messagerie chiffrée  »

Mais le temps où Telegram avait la cote semble révolu. En tout cas, dans le gouvernement actuel et au sein de la majorité présidentielle. Vendredi 13 avril, le secrétaire d’État en charge du numérique a confié au micro de France Inter que l’État allait lancer un projet de messagerie publique chiffrée de bout en bout, internet à l’État, et destinée à remplacer Telegram auprès des parlementaires et des ministres.

Les raisons pour lesquelles Telegram est en voie de marginalisation restent à éclaircir.

Est-ce l’existence de cette « subtilité » sur le chiffrement de bout en bout, qui n’est pas actif par défaut, qui a convaincu l’exécutif d’aller voir ailleurs ? Le fait que deux Russes sont à l’origine de l’application — ce qui, dans le contexte géopolitique actuel, n’est pas anodin ? Ou bien parce que les services secrets russes veulent accéder à tous les messages, sous peine de procéder au blocage du service dans le pays ?

Normalement, Telegram n’est pas en mesure de connaître les clés servant au chiffrement de bout en bout, celles-ci étant générées par et se trouvant en possession des personnes impliquées dans la conversation. Telegram n’est donc en théorie pas capable de répondre à la demande du FSB, sauf à supposer qu’il existe une porte dérobée dans la messagerie ou que l’implémentation du protocole est bancale.

L’application Telegram.

Partir d’une feuille blanche ?

À entendre le secrétaire d’État, la piste qui est privilégiée consiste donc à partir de zéro ou presque, en s’abstenant de passer par une solution existante, comme Signal ou l’une qui est évalué dans le tableau Secure Messaging Apps Comparison qui juge diverses solutions (comme Allo, iMessage, Messenger, Riot, Signal, Skype, Telegram, Threema, Viber, Whatsapp, etc) sur des critères très techniques.

Il existe pourtant des travaux intéressants sur le sujet : Florian Maury, un ex-ingénieur au sein de l’Agence nationale de la sécurité des systèmes d’information, s’est ainsi penché sur les protocoles de chiffrement pour les messageries quasi-instantanées (Telegram, Off-the-Record, OpenPGP, Signal et OMEMO), en étudiant leurs mécanismes cryptographiques et en les confrontant dans une étude comparative.

Synthèse des atouts et faiblesses de plusieurs protocoles de sécurité.

Ercom, Atos, Thales…

Cette Agence d’ailleurs, dont le rôle est d’assurer la défense informatique de l’État, n’est pas étrangère à ces enjeux. Elle procède par exemple à la qualification de certains outils qui pourraient être utilisés par les membres du gouvernement ou les parlementaires. Du côté de la mobilité par exemple, la société Ercom propose CryptoSmart, tandis qu’Atos met à disposition le smartphone Hoox M2.

Dans le cas de CryptoSmart par exemple, l’entreprise précise que « le ministère des armées et la présidence de la République ont choisi Ercom pour sécuriser leurs communications mobiles ». C’est aussi le cas du ministère des affaires étrangères et du développement international pour ses tablettes. Bref, il existe des solutions et celles-ci sont déjà utilisées dans les ministères.

« Cryptosmart est une solution globale de sécurisation de terminaux en situation de mobilité : communications sécurisées (voix, SMS, messagerie, Intranet…), chiffrement des données du terminal, contrôle des ports (Wi-Fi, Bluetooth, USB…), pare-feu réseau et protection anti-rootage/anti-piégeage. Cryptosmart s’installe sur des terminaux standards de dernière génération en conservant l’ergonomie et les applications natives », lit-on sur le document de l’Anssi.

Eircom CryptoSmart
Le volet téléphonie de la solution proposée par Ercom.

Quant au Hoox M2, il s’agit d’une solution qui « permet de protéger en confidentialité et en authenticité des appels entre terminaux mobiles. La solution Hoox M2 est composée d’un terminal et d’une passerelle ». Elle offre une protection semblable à Cryptosmart, avec une confidentialité et une intégrité des données mobiles, des communications vocales et des SMS, que ce soit le stockage ou le transfert.

Il est à noter que la tendance aux smartphones « durcis » ne concerne pas uniquement les agents de l’État, les militaires ou les hommes d’affaires. Si de grands groupes comme Atos et Thales se sont positionnés sur ce marché avec des produits comme le Hoox ou l’Every Talk, il existe aussi des solutions un peu plus tournées vers le grand public, comme l’Archos GranitePhone ou le Blackphone 2 de Silent Circle.

Quelles suites ?

Il reste désormais à voir si le projet annoncé par Mounir Mahjoubi se traduira dans les faits par la création d’une messagerie publique chiffrée de bout en bout. Mais pour sécuriser un terminal complètement, il faut aussi que le smartphone sur lequel cette messagerie sera installée soit sûr. Dans tous les cas de figure, il est clair que l’Agence nationale de la sécurité des systèmes d’information sera dans la boucle.

Toutes proportions gardées, le projet annoncé par le secrétaire d’État fait quelque peu écho à celui qui aurait consisté à créer un système d’exploitation français, sous la supervision d’un Commissariat à la souveraineté numérique. Cette initiative d’OS souverain avait toutefois été critiqué alors que des estimations chiffrées évoquaient un coût d’environ un milliard d’euros.

L’idée a pour l’instant été mise de côté, ce qui n’est pas forcément plus mal car il existe déjà un programme en cours avec Clip. Un peu comme du côté des messageries qui proposent une sécurité avec chiffrement de bout en bout, par exemple ?

Partager sur les réseaux sociaux