L’agence américaine pour la cybersécurité et la sécurité des infrastructures exhorte les entreprises opérant dans des domaines sensibles à prendre des mesures pour se protéger des risques de compromission de messages non chiffrés. Et ce aussi bien sur Android qu’iOS.
Comme l’année dernière à la même époque, l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) met à nouveau en garde les utilisateurs de smartphones contre l’envoi de SMS non cryptés. Mettant particulièrement en garde contre les attaques menées par des États-nations via des services de messagerie visant des cibles à haut potentiel, le dernier bulletin mis à jour doit être considéré comme un avertissement pour tout le monde. « Les cybercriminels utilisent des logiciels espions et d’autres techniques avancées d’ingénierie sociale pour cibler les applications de messagerie privée et compromettre les terminaux mobiles », alerte l’organisme.
Bien que l’analyse de la CISA indique que les exploits semblent pour le moment se concentrer sur Signal et WhatsApp, cela implique que les utilisateurs d’Android et d’iOS devraient éviter d’utiliser des services de messagerie texte non chiffrés. Cela signifie qu’il ne faut pas utiliser l’application de messagerie standard sur ces deux types de smartphones, car même le dernier protocole RCS (Rich Communication Services) – désormais pris en charge sur ces deux plateformes – ne propose pas encore de chiffrement de bout en bout. Ce dernier n’a été intégré au RCS qu’au début de cette année. Google le teste actuellement et Apple a promis de l’introduire. « Le chiffrement de bout en bout est une technologie puissante en matière de confidentialité et de sécurité que iMessage prend en charge depuis le début, et nous sommes aujourd’hui ravis d’avoir contribué à mener un effort intersectoriel visant à intégrer le chiffrement de bout en bout au profil universel RCS publié par la GSMA », a déclaré Apple. « Nous ajouterons la prise en charge des messages RCS chiffrés de bout en bout à iOS, iPadOS, macOS et watchOS dans les prochaines mises à jour logicielles. » À l’heure actuelle, la firme à la pomme considère le chiffrement RCS comme un ajout potentiel à iOS 26.2. Cela semble logique, étant donné qu’il considère la confidentialité comme un droit humain et que la protection de ce droit exige le chiffrement de bout en bout dans ses applications de messagerie.
Une situation qualifiée de dangereuse par la CISA
La CISA n’a pas mâché ses mots dans ses recommandations. Elle a averti que les cibles potentielles (en particulier celles dans les domaines militaires, gouvernementaux ou politiques) devraient immédiatement revoir les mesures de sécurité qu’elles ont mises en place. « Les personnes spécifiquement ciblées doivent partir du principe que toutes les communications entre les terminaux mobiles – y compris gouvernementaux et personnels – et les services Internet sont susceptibles d’être interceptées ou manipulées », prévient-elle. Cela signifie que si vous devez envoyer des messages à d’autres personnes, vous devez utiliser des plateformes de messagerie cryptées telles que Signal ou WhatsApp. Vous pouvez également vous protéger en empêchant l’utilisation des SMS standard sur vos appareils. Sur l’iPhone, vous pouvez le faire dans les paramètres, où, dans la section Messages, vous devez désactiver l’option Envoyer comme SMS. Cela garantira que tous les messages que vous envoyez sont transmis de manière sécurisée à l’aide du système E2EE d’iMessage. La CISA formule certaines recommandations spécifiques à l’iPhone. C’est intéressant, car cela reflète l’utilisation généralisée des terminaux Apple au sein des administrations et des entreprises, et suggère à quel point l’environnement de sécurité est devenu fébrile. Cela devrait particulièrement préoccuper tous les gouvernements, en particulier britannique qui a peut-être, ou non, contraint Apple à affaiblir considérablement le cryptage de ses terminaux. Cette dernière mesure semble être une décision autodestructrice dans l’environnement de sécurité dans lequel nous nous trouvons, selon la CISA.
Les recommandations pour Android et iOS
L’agence américaine recommande aux utilisateurs d’iPhone appartenant aux groupes particulièrement ciblés d’activer le mode Verrouillage, d’utiliser iCloud Private Relay ou de recourir aux services DNS chiffrés proposés par des fournisseurs tels que Cloudflare, Google ou Quad9. Elle suggère également de vérifier régulièrement les autorisations accordées aux applications dans Réglages > Confidentialité et sécurité, et de les révoquer si une application n’a pas réellement besoin de ces fonctionnalités.
Les conseils pour Android sont les suivants : utiliser RCS si le chiffrement de bout en bout est activé, recourir des services DNS privés/chiffrés et s’assurer que les paramètres de sécurité les plus élevés sont en place sur Chrome et Google Play Protect. L’organisme recommande aux utilisateurs d’Android de « privilégier les modèles de fabricants ayant fait leurs preuves en matière de sécurité ». Cela signifie qu’il faut uniquement utiliser des systèmes provenant de fabricants réputés pour leurs mises à jour de sécurité régulières et leur engagement en faveur d’un support de sécurité à long terme. L’agence donne également de bons conseils à ceux qui utilisent Signal ou WhatsApp pour sécuriser leurs communications. Entre autres suggestions, elle recommande de ne pas scanner les invitations à des groupes ou les QR codes provenant de sources inconnues, et de vérifier l’authenticité de toute invitation à un groupe en contactant d’abord son administrateur. Elle conseille également de vérifier les périphériques inclus dans la section « Appareils connectés » des paramètres de l’application de messagerie. Enfin, elle pousse l’utilisation de l’authentification FIDO pour sécuriser le terminal et le service de messagerie, et de « migrer » depuis les systèmes MFA basés sur les SMS.