Ils sont encore échangés par milliards, même s’ils sont en perte de vitesse avec l’émergence des messageries instantanées. Les SMS restent très populaires, mais ils sont confrontés à des insuffisances qui ne les rendent pas très sécurisés et confidentiels.

« 5,5 milliards de SMS non chiffrés sont envoyés chaque jour. Avec WhatsApp, vos messages n’en feront pas partie. Passez à une nouvelle ère de confidentialité personnelle avec le chiffrement automatique de bout en bout. » Voilà le message que le compte officiel de WhatsApp a publié le 17 octobre 2022 sur Twitter, pour vanter les mérites de son service de messagerie.

Bien sûr, la réputation de l’application mobile dans ce domaine n’est plus à faire : par défaut et pour chaque internaute, les messages entre membres sont chiffrés de bout en bout. Cela signifie que seuls l’émetteur et le destinataire (dans le cas d’une discussion à deux) peuvent lire les échanges. Pour les tiers hors de la boucle, ce sera impénétrable.

Le chiffrement de bout en bout est un enjeu de santé // Source : Canva
Le chiffrement de bout en bout est de plus en plus courant dans les applications de messagerie, mais il n’est pas toujours actif par défaut. // Source : Canva

Qui plus est, WhatsApp mobilise le protocole de chiffrement développé par Open Whispers System. Il est open source (c’est-à-dire que son code source peut être consulté par quiconque) et sert dans Signal, une application rivale dont Edward Snowden et d’autres figures de la sécurité informatique ne disent que du bien.

Mais, si l’on parle régulièrement de la sécurité des messageries instantanées comme Signal, WhatsApp et Telegram (trois parmi les plus connues), en soulignant leur utilisation du chiffrement de bout en bout et l’importance que ce mécanisme revêt pour la sécurité et la confidentialité des échanges, celle des SMS passe parfois au second plan.

Les SMS sont-ils sûrs ?

Pas de chiffrement dédié de bout en bout

Le problème des SMS, c’est qu’ils ne bénéficient pas du chiffrement de bout en bout, contrairement aux messages circulant entre deux applications WhatsApp ou Signal (ou Telegram, si l’option est activée). Sans cette protection, cela signifie que le texte circule « en clair » sur les réseaux des opérateurs. Autrement dit, les échanges sont techniquement lisibles par des tiers.

C’est une faiblesse identifiée depuis longtemps. « Lorsque vous envoyez un message texte (SMS) sur un téléphone, le texte n’est pas du tout chiffré. […] Les gouvernements ou les opérateurs de téléphonie peuvent lire vos messages », écrivait en 2020 l’Electronic Frontier Foundation, une puissante organisation américaine dédiée à la défense des libertés numériques.

Texto sms
Sur les vieux téléphones, évidemment, seuls les SMS sont accessibles. // Source : Md saad andalib

Bien sûr, tout le monde n’a pas au quotidien le gouvernement comme principal modèle de menace. Dans certains pays soumis à des régimes autoritaires ou dictatoriaux toutefois, le péril est nettement plus concret. Un message circulant en clair critique du pouvoir pourrait être intercepté par les autorités et retracé jusqu’à l’émetteur.

Même en France, la lisibilité des SMS pose un problème, notamment dans le cadre de professions sensibles (journalistes, avocats, juges, ministres, cadres dans de grands groupes, etc.). Les enjeux liés à certains échanges requièrent parfois un seuil de sécurité accru pour éviter des interceptions sauvages ou non — comme avec un IMSI-catcher, qui attrape le trafic mobile.

Des protocoles vulnérables

Outre le problème des messages en clair, les protocoles sur lesquels ils reposent ne sont pas sûrs. C’est ce que relève l’Agence nationale de la sécurité des systèmes d’information (Anssi) dans un document de 2021. L’Agence assure au quotidien la protection cyber de l’État et de ses infrastructures vitales et essentielles. Elle est très au fait des enjeux de sécurisation des communications.

« La majorité des SMS transitent grâce à l’ensemble de protocoles de signalisation SS7. Malheureusement, ces protocoles présentent de nombreuses vulnérabilités intrinsèques et peuvent être aisément interceptés », écrit l’Anssi, au sujet du risque qui existe en transmettant un code sensible par SMS. En outre, les SMS sont exposés à la technique de piratage de SIM swapping.

L’enjeu des métadonnées

Troisième problématique à considérer : les métadonnées (aussi metadatas en anglais). Il s’agit de toutes les informations qui contextualisent le message : la date d’envoi, la date de réception, le numéro de l’émetteur, celui du destinataire, le poids du message et ainsi de suite. Ces éléments peuvent aussi en dire long sur la teneur d’un échange, même sans l’avoir lu.

En France, les opérateurs de télécommunications sont tenus par la loi de conserver des détails relatifs aux communications. Ces règles sont précisées dans le Code des postes et des communications électroniques. Seules les données techniques sont citées (localisation, date, horaire, l’équipement, etc, en plus des éléments mentionnés ci-dessus). Pas les échanges eux-mêmes.

chat curiosité espion
Les métadonnées autour des SMS sont aussi un sujet de sûreté et de confidentialité. // Source : Eberhard Grossgasteiger

Mais, il y a des circonstances dans lesquelles des écoutes et des interceptions sont prévues par la loi — outre celles qui pourraient avoir lieu de manière illégale. On les retrouve consignées dans le Code de procédure pénale (sur décision du juge si les faits concernent des crimes ou des délits significatifs) et dans le Code de la sécurité intérieure (sur action des services de renseignement).

Dans le cas du magistrat, « le juge d’instruction peut, lorsque les nécessités de l’information l’exigent, prescrire l’interception, l’enregistrement et la transcription de correspondances émises par la voie des communications électroniques. Ces opérations sont effectuées sous son autorité et son contrôle ». De facto, les SMS sont exposés à cette captation.

Pour le renseignement, les cas de figure sont relatifs à la défense et à la promotion des intérêts fondamentaux de la Nation : indépendance nationale, intégrité du territoire, défense du pays, prévention du terrorisme, délinquance organisée, criminalité, intérêts économiques, industriels et scientifiques majeurs de la France, prolifération d’armes de destruction massive…

WhatsApp métadonnées
Les métadonnées collectées par les plateformes. // Source : Forbes

Il est à noter que l’enjeu des métadonnées existe aussi pour les applications, car ces informations ne bénéficient pas d’un même degré de protection que les messages chiffrés de bout en bout. C’est pour cela qu’il est parfois reproché à WhatsApp, une filiale de Facebook, de collecter un peu trop de métadonnées — informations qui sont susceptibles de resservir ensuite.

Un article de Forbes daté de 2021 avait bien montré ce sujet, avec un comparatif des métadonnées collectées entre Facebook Messenger (qui propose aussi du chiffrement de bout en bout, mais en option), WhatsApp, iMessage et Signal. Les métadonnées peuvent être très bavardes, au point de donner une petite idée de ce qui peut être raconté dans des messages, y compris chiffrés.