Le FBI et la CISA viennent de publier une alerte qui risque de bousculer bien des idées reçues sur les messageries chiffrées. Le message n’est pas que Signal ou WhatsApp sont cassés. Au contraire, les autorités américaines précisent que le chiffrement des applications n’a pas été compromis. Ce qui est visé, ce sont les comptes des utilisateurs, par des campagnes de hameçonnage capables de contourner la protection en s’attaquant directement à la personne.

L’alerte vise des opérations attribuées à des acteurs liés au renseignement russe. Selon le document officiel, ces campagnes ont permis un accès non autorisé à des milliers de comptes de messagerie. Une fois dans le compte, les attaquants peuvent lire les messages, consulter les contacts, envoyer des messages au nom de la victime et tenter d’infecter d’autres personnes à leur tour.

Le point important, c’est donc la nuance. Le chiffrement de bout en bout protège le contenu pendant son transit entre deux appareils. Mais si un pirate parvient à associer son propre appareil à votre compte, ou à vous soutirer un code de vérification, il peut lire les échanges sans avoir besoin de casser le chiffrement. Le FBI insiste précisément sur ce scénario, en évoquant l’abus des fonctions d’appareils liés et les détournements de comptes.

Cette mise au point rejoint d’autres constats du milieu de la cybersécurité. Microsoft a récemment documenté une campagne où des messages WhatsApp servaient à livrer des fichiers malveillants sur Windows. Là encore, la faille n’était pas dans le chiffrement de la plateforme, mais dans la capacité des attaquants à convaincre l’utilisateur d’ouvrir un fichier piégé. La sécurité technique reste solide, mais elle ne protège pas contre toutes les erreurs humaines.

Pour les usagers, la leçon est simple. Une messagerie chiffrée demeure préférable à une messagerie non chiffrée, mais elle n’offre pas une immunité totale. Il faut vérifier les appareils liés à son compte, activer les protections supplémentaires, éviter de partager des codes reçus par SMS ou dans l’application, et se méfier des messages qui prétendent venir du support technique. Le FBI rappelle d’ailleurs qu’un service légitime ne demandera pas ce type d’information par message direct.

Cette nouvelle alerte du FBI ne condamne pas le chiffrement de bout en bout, elle en remet plutôt les limites en contexte. La confidentialité du transport des messages est une chose. La sécurité du téléphone, du compte et des habitudes de l’utilisateur en est une autre. Et dans bien des cas, c’est encore l’humain, plus que l’algorithme, qui demeure le maillon faible.

Source : FBI

******

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.