WhatsApp: Oui, vous pouvez arrêter d’utiliser WhatsApp, mais ne faites pas cette erreur

WhatsApp: Oui, vous pouvez arrêter d'utiliser WhatsApp, mais ne faites pas cette erreur

récent désastre de relations publiques a vu des dizaines de millions de personnes affluer vers d’autres plateformes. Des millions d’autres envisagent maintenant de faire de même, après un contrecoup sur le partage de données avec Facebook. Mais attention, tous les messagers ne sont pas les mêmes et pourriez prendre un risque plus « dangereux » que ne le pensez. Alors, que devez- faire maintenant ?

« Utiliser est dangereux », le fondateur de Telegram, Pavel Durov averti en janvier dernier, citant des cyberattaques contre exécutées sur des téléphones appartenant à des cibles clés, dont Jeff Bezos. Un an plus tard, Durov célèbre maintenant « la plus grande migration numérique de l’histoire de l’humanité », en écrivant que « Au cours de la première semaine de janvier, Telegram a dépassé les 500 millions d’utilisateurs actifs mensuels – 25 millions de nouveaux utilisateurs ont rejoint Telegram au cours des 72 dernières heures seulement. »

Dans son avertissement, Durov a cité un Vulnérabilité dans sa gestion des fichiers vidéo ainsi que des attaques présumées d’États-nations comme celle visant Bezos. Durov a affirmé que « les portes dérobées sont généralement camouflées comme des failles de sécurité ‘accidentelles’ – rien que l’année dernière, 12 failles de ce type ont été trouvées dans . Durov aussi (correctement) a souligné les risques pour les utilisateurs qui sauvegardent leurs historiques de discussion sur des clouds publics et a remis en question la sécurité légendaire de . « Comment peut-on être sûr que le cryptage que prétend utiliser est celui qui est réellement mis en œuvre dans leurs applications ? »

se bat maintenant pour réparer la blessure auto-infligée d’un changement forcé des conditions de service juste après les labels de confidentialité d’Apple a exposé sa vaste collecte de données. C’était un cauchemar de relations publiques pour l’entreprise. Et alors qu’il a fait marche arrière sur son à prendre ou a laisser) avant l’ultimatum du 8 février, il n’y a pas encore de contrition sur l’étendue de la collecte de données elle-même. On ne peut s’empêcher de penser que devra faire plus, car ses concurrents accueillent suffisamment d’utilisateurs de en fuite pour pousser leurs backends Jusqu’à la limite.

Les deux concurrents de qui ont le plus profité de sa chute sont Signal et télégramme. Mais ils sont très différents les uns des autres, et le débat contre Telegram contre Signal a montré à quel point la plupart des utilisateurs ignorent ces différences critiques. Pire encore, de nombreux articles expliquant les problèmes de et les alternatives ne dissipent aucune de confusion. Cela met en danger.

L’afflux de nouveaux utilisateurs vers Telegram est peut-être l’aspect le plus intéressant de l’exode de . Soyons très clairs, alors que Signal est un sosie de plus sécurisé, Telegram n’en est rien. C’est une plate-forme complètement différente, conçue dans un but complètement différent. Et tandis que Durov dit « Je considère que les chats secrets de Telegram sont nettement plus sécurisés que tout autre moyen de communication concurrent », il n’en reste pas moins que Telegram est ne pas chiffrés de bout en bout par défaut, et ces discussions secrètes fonctionnent entre deux appareils seulement, elles ne s’étendent pas aux groupes et doivent être sélectionnées manuellement.

Telegram a été décrit comme une partie des médias sociaux et une partie de messagerie. Il s’agit d’une plate-forme basée sur le cloud qui a été conçue pour transmettre des messages « de manière transparente sur n’importe quel nombre de vos téléphones, tablettes ou ordinateurs.  » Le cas d’utilisation initial de Telegram a soutenu les dissidents et les groupes de protestation. En hébergeant des messages hors de portée de l’État, n’importe quel appareil pourrait être utilisé pour accéder au référentiel. Et bien que vos données soient hors de portée des autorités, elles sont techniquement accessibles par Telegram et ses employés.

Telegram exploite d’énormes groupes et canaux, en tant que tel, il héberge du contenu de la même manière que Facebook et Twitter, diffusé aux membres abonnés. fonctionnalité a entaché la réputation de Telegram en raison de l’utilisation présumée de la plate-forme par des criminels, des terroristes et des groupes haineux. Rien que semaine, il a été poursuivi « pour ne pas avoir réprimé les conversations extrémistes violentes à la suite de l’attaque du Capitole des États-Unis. »

« Les applications de chat qui offrent des fonctionnalités au-delà de la messagerie compromettent souvent la confidentialité au profit de fonctionnalités supplémentaires », prévient le chercheur en sécurité Tommy Mysk. « Telegram propose une fonctionnalité comme les chaînes, qui sont des flux publics. Cela fait de Telegram une alternative à Twitter plutôt qu’à Signal. Telegram mélange des méthodes de messagerie cryptées de bout en bout avec d’autres, telles que des discussions et des canaux normaux, qui ne le sont pas. Un profane ne fera pas la différence et pourrait finir par opter pour une fonctionnalité moins sécurisée.

À l’exception de ses discussions secrètes limitées, Telegram ne crypte pas les messages de à vos contacts, mais crypte plutôt les messages entre votre appareil et son cloud, et encore entre son cloud et vos contacts. utiliser plusieurs appareils pour accéder à votre référentiel de messagerie basé sur le cloud, et Telegram détient les clés de tout ce cryptage.

En revanche, Signal et faire chiffrer de bout en bout par défaut. Et tandis que Durov a raison, le fait ne pas rendre son cryptage open-source, il est basé sur le propre protocole de Signal, qui est entièrement open source. Il n’y a jamais eu d’allégations crédibles de vulnérabilités dans ce transport de messages cryptés lui-même, uniquement avec des points de terminaison compromis, c’est-à-dire en frappant des téléphones avec des logiciels malveillants.

« Lorsque lancez des capacités au niveau de l’État-nation et la capacité d’attaquer des points de terminaison », déclare Cyjax CISO Ian Thornton-Trump, « tous les paris sont ouverts et la conversation (au moins un côté) est aussi vulnérable que s’il s’agissait d’un texte clair. « 

Mais il s’avère que pendant attaques présumées de logiciels espions israéliens et diverses vulnérabilités techniques n’ont pas été en mesure d’ébranler la confiance de la vaste base d’utilisateurs de , la combinaison des labels de confidentialité d’Apple et une modification de ses conditions d’utilisation, signalée à tort comme partage vos données avec Facebook, a provoqué un contrecoup. Facebook a toujours été le talon d’Achille de , et c’est un risque depuis 2014.

Il existe des raisons légitimes pour les utilisateurs de vouloir passer de à des alternatives – la plate-forme Est-ce que collecte trop de données, il partage certaines de ces données avec Facebook, il développe des offres commerciales tout en étant incapable d’offrir des fonctionnalités multi-appareils et des sauvegardes cloud entièrement sécurisées. Et, surtout, à cause de l’intégration prévue avec et Instagram.

Mais la seule raison ne pas passer de est plus de soucis avec la sécurité de ses messages. s’attribue le mérite d’universaliser l’accès au cryptage de bout en bout, et bien que toute plate-forme de envergure soit soumise à des attaques sophistiquées des États-nations, il suffit de regarder Apple, le cryptage de bout en bout de est correct. L’ironie est que les millions de personnes changeant pour Telegram seront moins ce n’est pas une question d’opinion, c’est parce qu’il n’a pas de cryptage de bout en bout par défaut.

Ne me croyez pas sur parole, regardons ce que dit Telegram lui-même. « Ai-je besoin de faire confiance à Telegram pour que cela soit sécurisé ? » la plateforme demande dans sa propre FAQ. « En ce qui concerne les chats secrets, ne le pas », dit-il. Et à la question « pourquoi ne pas simplement rendre tous les chats « secrets » ? » Telegram affirme qu’il offre un équilibre entre la sécurité, la vitesse et l’accès à plusieurs appareils, ainsi que la restauration des messages lorsqu’un téléphone est perdu. Il a été compromis par des « messages dans les conversations secrètes utilisant le cryptage client-client, tandis que les conversations cloud utilisent le cryptage client-serveur/serveur-client et sont stockées cryptées dans le cloud Telegram ».

Telegram a raison : si les utilisateurs choisissent d’utiliser le cloud public de (sauvegardes Apple ou Google), ils perdent la protection de sa sécurité de bout en bout. Mais avec , échanger le risque de perte d’appareil contre une sécurité des messages compromise. ne pas faire ce choix avec Telegram, sauf si en tenez à des discussions secrètes 1:1.

Étant donné que la plupart de vos messages Telegram ne sont pas cryptés de bout en bout, comptez sur la sécurité et les politiques internes de Telegram. « Pour protéger les données qui ne sont pas couvertes par le chiffrement de bout en bout », dit-il, « Telegram utilise une infrastructure distribuée. Les données de chat en nuage sont stockées dans plusieurs centres de données à travers le monde qui sont contrôlés par différentes entités juridiques réparties dans différentes juridictions. Les clés de déchiffrement pertinentes sont divisées en plusieurs parties et ne sont jamais conservées au même endroit que les données qu’elles protègent.

Gardez à l’esprit les origines de Telegram – il s’agit de conserver les données des autorités. En raison de structure, dit-il, « plusieurs décisions de justice de différentes juridictions sont nécessaires pour nous forcer à céder des données… Nous pouvons garantir qu’aucun gouvernement ou bloc de pays partageant les mêmes idées ne puisse empiéter sur la vie privée et la liberté expression. Telegram ne peut être contraint de donner des données que si un problème est suffisamment grave et universel pour passer l’examen minutieux de plusieurs systèmes juridiques différents à travers le monde. Tout cela, dit-il, signifie « nous avons divulgué 0 octet de données utilisateur à des tiers, y compris des gouvernements ».

PLUS DE FORBESPourquoi devriez- d’utiliser votre application

Mais Mysk prévient que « Telegram se démarque de Signal et même de dans la façon dont il demande constamment l’accès aux contacts. Telegram rend gênant l’utilisation de l’application sans accorder l’accès aux contacts. De plus, il offre à ses utilisateurs la possibilité de se connecter sans échanger de numéro de téléphone. Cependant, lors de l’ajout d’un nouveau contact par nom d’utilisateur, l’option de partager le numéro de téléphone de l’utilisateur avec le nouveau contact est activée par défaut.

En tant qu’utilisateur de Telegram, si souhaitez faire correspondre la sécurité de messagerie réelle utilisée par , devez en tenir à ces discussions secrètes. Mais, contrairement à et Signal et iMessage, entre autres, ces discussions secrètes ne peuvent pas inclure de groupes ou quoi que ce soit au-delà des discussions 1: 1 sélectionnées. Avec les discussions secrètes, Telegram dit, « toutes les données sont cryptées avec une clé que seuls et le destinataire connaissez – il n’y a aucun moyen pour nous ou quiconque sans accès direct à votre appareil pour savoir quel contenu est envoyé dans ces messages… les chats ne font pas partie du cloud Telegram et ne sont accessibles que sur leurs appareils d’origine.

Cela peut sembler familier aux utilisateurs de , qui dit : « Le cryptage de bout en bout garantit que seuls et la personne avec qui communiquez lire ou écouter ce qui est envoyé, et personne entre les deux, pas même . En effet, avec le cryptage de bout en bout, vos messages sont sécurisés par un verrou, et seuls le destinataire et disposez de la clé spéciale nécessaire pour les déverrller et les lire. Tout cela se fait automatiquement : pas besoin d’activer des paramètres spéciaux pour sécuriser vos messages.

Le télégramme est ne pas une plateforme à haut risque. Mais ce n’est pas l’avancée de , du point de vue de la sécurité, qu’il prétend. En réalité, les deux plates-formes ont des problèmes, bien que différents, et sont raisonnablement sécurisées. Sauter un navire de l’un à l’autre n’a pas de sens.

Si souhaitez quitter pour des raisons de sécurité et de confidentialité, devez passer à Signal, pas à Telegram. Signal est le sosie le plus proche de . Il ne lie aucune donnée à ses utilisateurs, bien qu’il utilise votre numéro de téléphone pour identifier votre compte.

Mais qu’en est-il des autres plates-formes de messagerie, comment se comparent-elles ?

L’architecture de messagerie la plus sophistiquée est celle d’Apple. iMessage repose sur des astuces très intelligentes, permettant aux utilisateurs d’exécuter un référentiel de messages iCloud central qui se synchronise sur tous vos appareils Apple de confiance, sans jamais perdre le cryptage de bout en bout. Dans le langage de Telegram, c’est le meilleur des deux mondes. Pour l’activer, devez avoir « Messages dans iCloud activée. » Il y a une mise en garde, cependant. Si avez également activé les sauvegardes iCloud, une copie de votre clé de chiffrement de bout en bout sera incluse.

Le principal problème avec iMessage, bien sûr, est qu’il ne fonctionne pas sur plusieurs plates-formes. Ainsi, bien qu’il s’agisse de l’option de messagerie la plus intelligente pour les utilisateurs d’Apple, il ne peut pas être le messager incontournable sur votre appareil. La solution de repli lorsque envoyez un message à des utilisateurs non Apple est le , et le est une émission d’horreur en matière de sécurité.

Android Messages n’est pas une bonne alternative à . Il s’agit essentiellement d’un client qui a maintenant évolué vers RCS pour ajouter les fonctionnalités de chat disponibles dans et iMessage. il n’est pas chiffré de bout en bout pour le moment, bien que Google a mise à jour en version bêta. Mais pour le moment, cela ne fonctionne que pour la messagerie 1: 1, un peu comme Telegram, ne s’étend pas aux groupes et a besoin des deux côtés d’un chat sur l’application bêta.

est encore plus interdit. Il offre une option de chat «secrète» 1: 1 similaire à Telegram, qui est cryptée de bout en bout, mais tout le reste n’a pas ce niveau de sécurité. Il a également une politique de confidentialité lamentable – une vaste gamme de métadonnées est collectée par Facebook, et la plate-forme admet surveiller le contenu, y compris les liens de fichiers et les pièces jointes. Le meilleur conseil pour les utilisateurs de Messenger est de changer.

D’autres options moins connues sont désormais disponibles, notamment Viber, qui ajoute une messagerie cryptée de bout en bout à sa plate-forme VoIP et Wickr, qui est mieux décrite comme une version entreprise de Signal, conçue pour une utilisation en entreprise. Il y a aussi Threema, basé en Suisse, qui est devenu un favori des très soucieux de la sécurité. plate-forme est encore plus sécurisée que Signal – elle n’utilise pas de numéros de téléphone comme identifiants et peut donc garder les comptes totalement anonymes. Cependant, il a une base d’utilisateurs beaucoup plus petite, il est donc peu probable que trouviez beaucoup de vos contacts (le cas échéant) à bord.

Un peu d’actualité, j’ai demandé à Flavio Aggio, RSSI à l’Organisation mondiale de la santé, quel messager il recommanderait. Il n’en défendrait aucun, mais a mentionné Signal, Threema et Telegram comme de bonnes options. J’ai eu l’impression qu’il serait dodu pour Threema s’il était poussé – le fait qu’il puisse être utilisé sans numéro de téléphone, il considérait comme un avantage majeur.

Si déménagez, êtes d’accord avec l’une des alternatives cryptées de bout en bout que j’ai mentionnées. êtes également d’accord avec Telegram, mais assurez- de comprendre les différences et les risques ; engagerez à stocker la plupart de votre contenu dans le cloud de Telegram, et ce ne sera pas pour tout le monde. La plupart des nouveaux utilisateurs ne le savent pas et supposent qu’il s’agit d’une version plus sécurisée de . Ce n’est tout simplement pas le cas.

Pour Jake Moore d’ESET, « Signal semble gagner la course contre Telegram », d’après les contacts qu’il voit bouger. « Je pense que cela peut continuer en raison de son cryptage de bout en bout par défaut », dit-il, « un must pour tout service de messagerie à mon avis. Les personnes qui migrent vers des applications axées sur la confidentialité ne se font pas du jour au lendemain. Cependant, était disponible pendant des années avant de devenir la plate-forme de messagerie numéro un.

Ce dilemme de désinformation a été parfaitement illustré par l’un des nombreux courriels que j’ai reçus semaine de plateformes de messagerie cherchant à brancher leurs marchandises. « Les applications de messagerie, comme Telegram et Signal, sont cryptées de bout en bout », indique l’e-mail. « , bien que crypté de bout en bout, présente un certain nombre de failles qui permettent de stocker ou de partager des conversations. »

Tout cela est dangereusement trompeur et montre le peu de chance que les utilisateurs ordinaires ont de choisir parmi la désinformation pour obtenir les faits. Signal et sont chiffrés de bout en bout par défaut, pas Telegram. Et bien que le déploiement de Signal soit entièrement open source et donc théoriquement plus sécurisé, il n’y a pas de « failles » dans , par lesquelles l’e-mail signifiait des portes dérobées permettant à Facebook de surveiller le contenu.

Comme le souligne l’ancien officier du renseignement Philip Ingram, « le débat sur le maintien de la sécurité avec différentes applications de messagerie après l’exode massif de montre que beaucoup qui utilisent l’excuse de la vie privée semblent vouloir suivre les habitudes induites par le troupeau plutôt que de penser par eux-mêmes ». Sans surprise, Ingram utilise Threema. «Une application de messagerie véritablement anonyme basée en Suisse», dit-il. « Je n’ai pas regardé en arrière. »

.

WhatsApp: Oui, vous pouvez arrêter d'utiliser WhatsApp, mais ne faites pas cette erreur

# # # # # # #mais # #pas # #