Par Ozan Ahmet Cetin
À la mi-juin, alors qu'Israël et l'Iran échangeaient missiles et drones pendant ce que l'on a appelé la « guerre de 12 jours », la télévision d'État iranienne a exhorté les citoyens à supprimer WhatsApp de leurs smartphones. Les autorités ont affirmé que l'application de messagerie divulguait des données des utilisateurs à Israël, constituant ainsi une menace pour la sécurité nationale.
Cet avertissement a suivi une attaque israélienne ciblant le haut commandement militaire iranien, une opération si précise qu'elle a immédiatement soulevé des questions sur la vulnérabilité de Téhéran face à l'espionnage.
Il reste incertain si WhatsApp a été directement impliqué. Cependant, cet épisode a mis en lumière une préoccupation majeure : dans quelle mesure les consommateurs peuvent-ils faire confiance aux plateformes de messagerie pour protéger leurs données privées ?
Et plus pressant encore, quel accès les acteurs étatiques, qu'ils soient nationaux ou étrangers, ont-ils réellement aux conversations numériques que l'on suppose chiffrées et sécurisées ?
Les applications de messagerie comme WhatsApp, Signal, Telegram et iMessage d'Apple sont devenues omniprésentes pour les communications privées. Ces dernières années, ces services ont largement adopté le chiffrement de bout en bout, ce qui signifie que seuls les utilisateurs communicants peuvent déchiffrer les messages, pas même les fournisseurs de services.
Comment contourner le chiffrement ?
Ce chiffrement généralisé pose un défi majeur pour les agences de sécurité nationale et de renseignement, qui s'appuyaient historiquement sur l'interception des communications.
Cependant, même avec le chiffrement de bout en bout protégeant le contenu des messages, les agences de sécurité nationale ont développé une panoplie de stratégies techniques pour surveiller les suspects sur ces plateformes.
Cela inclut la capture de données non chiffrées lorsque disponibles, la collecte de métadonnées, l'exploitation de vulnérabilités logicielles ou encore la coopération avec les fournisseurs de services par des moyens légaux ou clandestins.
La coopération des entreprises avec les gouvernements varie et reste souvent opaque, soulevant des questions cruciales sur la confiance, la transparence et les vulnérabilités systémiques.
Bien que certaines applications de messagerie promeuvent un chiffrement de bout en bout robuste, la confiance dans leur sécurité doit être mesurée.
Les agences de renseignement, nationales ou étrangères, ont un long historique d'accès à des données autrefois considérées comme sécurisées.
Données privées et fausses promesses “publicitaires”
L'avance technologique de ces agences, combinée à une asymétrie d'information significative, signifie que le public est souvent inconscient de ce qui est réellement possible.
Dans ce contexte, une confiance absolue dans la confidentialité numérique est, au mieux, mal placée.
La collecte de métadonnées est souvent la première ressource exploitée par les agences de renseignement.
Même avec des messages chiffrés, les métadonnées restent exposées. Elles incluent des détails tels que qui a communiqué, quand, pendant combien de temps et la taille des messages.
Ces informations apparemment périphériques peuvent être extrêmement précieuses pour la surveillance, permettant d'inférer des schémas, des relations et des comportements sans accéder au contenu réel des messages.
Des métadonnées utilisées pour localiser des cibles
Nous tuons des gens sur la base des métadonnées
Les métadonnées seules peuvent être très révélatrices. L'ancien chef de la NSA et de la CIA, Michael Hayden, a un jour déclaré : « Nous tuons des gens sur la base des métadonnées », soulignant comment les schémas de communication, sans nécessiter les textes des messages, sont utilisés pour localiser et cibler des individus.
Dans le contexte des applications de messagerie, les métadonnées incluent le numéro de téléphone, les informations sur l'appareil, la date d'inscription de l'utilisateur, les journaux de contacts et les adresses IP avec des horodatages de localisation.
Par exemple, WhatsApp peut fournir des informations de base sur les abonnés et des journaux d'utilisation sous citation à comparaître, et avec une ordonnance du tribunal, révéler les contacts WhatsApp d'une cible et les utilisateurs ayant la cible dans leurs contacts.
Certaines autres entreprises, comme Signal, affirment limiter au maximum les métadonnées qu'elles collectent pour cette raison.
Lors de la première citation à comparaître reçue par Signal, l'entreprise n'a pu fournir que la date et l'heure d'inscription d'un utilisateur ainsi que la dernière fois qu'il a utilisé le service.
Elles déclarent ne pas stocker les listes de contacts, les horodatages des messages ou tout autre identifiant au-delà du numéro de téléphone, rendant ainsi la collecte de métadonnées très limitée par conception.
“Espionnage” à grande échelle
À une échelle plus large, les agences de renseignement peuvent également effectuer des analyses de trafic au niveau du réseau.
Par exemple, les unités SIGINT de la NSA interceptent les dorsales Internet et enregistrent le trafic en masse.
Même si elles collectent des messages WhatsApp chiffrés, elles peuvent toujours voir les paquets chiffrés allant d'une adresse IP à une autre.
Au fil du temps, en corrélant la taille, le moment et la fréquence de ces paquets avec des adresses IP ou des identités d'utilisateurs connues, il est possible de dresser un tableau des métadonnées indiquant qui parle à qui.
Des techniques comme l'analyse temporelle peuvent parfois identifier des paires de communication.
Les révélations de Snowden ont mis en lumière des programmes comme MYSTIC, qui enregistraient toutes les métadonnées des appels téléphoniques et même le contenu dans certains pays pour analyse.
Ainsi, même sans briser le chiffrement, les agences exploitent les signaux entourant le contenu chiffré.
Piratage de l'appareil
Lorsque les communications sont chiffrées en transit et sur les serveurs des fournisseurs, le point d'interception le plus facile est souvent l'appareil de l'expéditeur ou du destinataire, avant chiffrement ou après déchiffrement.
Les agences de renseignement ont investi massivement dans des capacités informatiques pour compromettre les smartphones et les ordinateurs, leur permettant de lire les messages directement depuis l'écran ou la mémoire de l'appareil.
Cette tactique a été explicitement reconnue dans les fichiers Vault 7 de la CIA, qui ont fuité, détaillant une série de logiciels malveillants et d'exploits pour les appareils iOS et Android.
Ces documents ont confirmé que les agences de renseignement peuvent prendre le contrôle quasi total du téléphone d'un utilisateur à distance et le transformer en appareil d'écoute.
Une fois qu'une agence obtient un accès root ou administrateur sur un téléphone, elle peut contourner ou capturer directement le contenu de toute application « sécurisée », puisque l'application doit déchiffrer les messages pour l'utilisateur.
Il est à noter que les fuites de Vault 7 ne contenaient aucune indication de failles cryptographiques contre les protocoles Signal ou WhatsApp eux-mêmes, ce qu'Open Whisper Systems (le développeur de Signal) a cité comme une preuve que le chiffrement de bout en bout obligeait les agences à recourir à un piratage ciblé et laborieux.
Un exemple notable de cette tactique est le logiciel espion Pegasus, développé par NSO Group, une société israélienne de cyber-renseignement.
Pegasus est devenu tristement célèbre pour sa capacité à infecter les téléphones à distance et discrètement.
En 2019, Pegasus a été découvert en train d'exploiter une vulnérabilité zero-day dans le code de WhatsApp en appelant simplement une cible via WhatsApp. Même si l'appel n'obtenait pas de réponse, le logiciel espion pouvait être injecté.
Une fois Pegasus pris en charge par l'appareil, il pouvait copier les messages, enregistrer les appels, activer le microphone et la caméra, et suivre la localisation, ce qui annule complètement les protections du chiffrement de bout en bout en volant les données à la source.
Des enquêtes menées par Citizen Lab et Amnesty International ont permis de remonter jusqu'aux services de renseignement et de police de dizaines de pays, qui l'auraient utilisé contre des journalistes, des militants et des personnalités politiques.
En 2021, des chercheurs ont découvert Forcedentry, un exploit « zero click » développé par le groupe NSO pour installer discrètement le logiciel espion Pegasus sur les appareils Apple.
Déguisée en fichiers image envoyés via iMessage, l'attaque ne nécessitait aucune interaction de l'utilisateur et exploitait une faille du système CoreGraphics d'Apple pour contourner les protections intégrées.
Ce qui la rendait particulièrement alarmante, c'était sa sophistication ; les experts de Google l'ont décrite comme l'un des exploits les plus avancés techniquement jamais vus.
Outre les produits NSO, les principales agences de renseignement développent leurs propres logiciels malveillants. Ces opérations sont souvent hautement classifiées, et nous n'en avons connaissance que par de rares fuites et incidents.
Contrairement à la surveillance de masse, le piratage d'appareils est ciblé, car il cible des personnes spécifiques. L'unité des opérations d'accès personnalisées de la NSA, par exemple, disposerait d'implants personnalisés pour les téléphones Android et Windows. Les fichiers Vault 7 de la CIA ont répertorié des outils comme HammerDrill ciblant les smartphones.
Le GCHQ britannique pratique également l'« interférence avec les équipements », explicitement légalisée par la loi britannique de 2016 sur les pouvoirs d'enquête pour les affaires de sécurité nationale.
Il est clair que, quelle que soit la puissance du chiffrement, si un service de renseignement parvient à implanter un logiciel espion sur un téléphone ou un ordinateur, il le contourne efficacement.
Cette réalité a bouleversé les stratégies du renseignement, et les agences investissent désormais des ressources dans les exploits zero-day, les logiciels malveillants et même les compromissions de la chaîne d'approvisionnement afin d'accéder aux données chiffrées.
Intrusion côté serveur
Une autre voie technique consiste à attaquer ou à exploiter les serveurs et l'infrastructure des services de messagerie.
Si le chiffrement de bout en bout vise à garantir que les serveurs ne puissent pas déchiffrer les messages des utilisateurs, les agences ont trouvé des moyens d'exploiter les systèmes côté serveur pour obtenir des informations.
Dans certains cas, les agences ont procédé à des vols massifs de données auprès d'entreprises technologiques. Les documents Snowden décrivent Muscular, une opération de la NSA et du GCHQ qui a exploité les liaisons de données privées entre les centres de données de Google, extrayant des données non chiffrées en transit.
Google et d'autres entreprises ont chiffré ces liaisons après 2013, mais cet incident illustre l'importance accordée à l'infiltration des connexions dorsales.
Pour les applications de messagerie, l'équivalent consisterait à cibler les communications entre les serveurs d'applications ou entre les serveurs et des terminaux non chiffrés, comme les chats cloud de Telegram.
La méthode la plus directe consiste peut-être à contraindre le fournisseur à apporter son aide.
Il a été révélé en 2013 que le programme PRISM de la NSA lui permettait de collecter des données sur les serveurs d'entreprises pour des cibles de renseignement étrangères, sous couvert de la loi américaine.
Des entreprises comme Microsoft, Google, Facebook et Apple figuraient sur la liste des participants à PRISM, censé fournir à la NSA un canal direct pour les demandes de données approuvées par la FISA.
En pratique, pour des applications comme WhatsApp ou iMessage, PRISM pourrait être utilisé pour demander des données stockées, telles que les informations de compte, les contacts et les communications stockées, qui n'étaient pas chiffrées de bout en bout.
Avant 2016, par exemple, WhatsApp ne proposait pas de chiffrement de bout en bout pour tous les messages ; le contenu de ses serveurs aurait donc pu être transmis.
Après l'introduction du chiffrement de bout en bout, le contenu ne serait plus disponible, car Facebook ne peut pas le déchiffrer. Cependant, d'autres données, comme les sauvegardes cloud ou les métadonnées, pourraient être accessibles par ces canaux.
Il est également envisageable qu'une agence, plutôt que de s'adresser à l'entreprise, pirate les serveurs. Si un service de renseignement s'introduisait dans le réseau interne d'un service de messagerie par des moyens informatiques ou par l'intermédiaire d'une personne interne, il pourrait potentiellement manipuler le service.
Après l'affaire Snowden, les entreprises ont renforcé leurs systèmes et se sont battues pour se donner une image de protection de la vie privée des utilisateurs, comme le chiffrement de WhatsApp ou le refus d'Apple de déverrouiller les iPhones. Pourtant, lorsque les données sont accessibles, les fournisseurs se conforment souvent aux injonctions légales. Et en cas de résistance, les agences peuvent trouver un moyen d'y accéder par le piratage.
Illusion de confidentialité
La vie privée est souvent une illusion. Les services de renseignement ont démontré à maintes reprises leur capacité à contourner les mesures de sécurité et à accéder à des informations présumées sécurisées.
Leur succès repose non seulement sur des technologies de pointe et une portée juridique, mais aussi sur leur capacité à opérer bien en dehors de la portée de la conscience publique. L'écart entre ce qui est connu et ce qui est réellement possible est important et souvent invisible.
Par conséquent, les communications numériques, aussi sécurisées soient-elles en apparence, restent vulnérables. Le chiffrement de bout en bout offre des protections significatives, mais il ne constitue pas une solution miracle.
Les agences de renseignement du monde entier ont adapté leurs tactiques, se concentrant sur l'analyse des métadonnées, la surveillance des appareils et l'exploitation des infrastructures pour contourner les barrières du chiffrement.
Les plateformes de messagerie diffèrent par leurs philosophies de conception, leurs politiques et leur transparence, mais toutes évoluent dans un environnement complexe, façonné par des limitations techniques, des pressions juridiques et des intérêts étatiques.
Les utilisateurs peuvent supposer que leurs messages sont privés, mais la confidentialité dans l'espace numérique ne dépend pas seulement des protocoles de chiffrement, mais aussi de l'intégrité des appareils, des réseaux et des entreprises qui exploitent ces services.
