X

Le cauchemar de sécurité de Google : seulement 14 jours pour changer de téléphone

Pour les utilisateurs d’Android, votre téléphone a soudainement changé. Il n’a fallu que 14 jours pour anéantir des années de lenteur des progrès du RCS et créer un cauchemar en matière de sécurité qui s’aggrave aujourd’hui. Même les médias grand public mettent en garde les utilisateurs contre RCS, laissant Google avec une certaine réflexion à faire. Et la décision surprise d’Apple pourrait signifier qu’il est déjà trop tard.

Le 19 novembre, une campagne concertée entre Google et Samsung « a accueilli une nouvelle ère de messagerie multiplateforme plus transparente… Samsung s’est associé à Google pour contribuer à l’adoption de RCS, une norme moderne et interopérable pour une messagerie améliorée. Désormais, avec la dernière version d’iOS prenant en charge RCS, les avantages sont disponibles au-delà de l’écosystème Android lors de la messagerie entre plates-formes. Cette adoption plus large rapproche le secteur d’une expérience de messagerie universelle et transparente, améliorant ainsi la façon dont les utilisateurs se connectent à travers le monde.

ForbesInterdiction de TikTok : changez votre compte avant qu’il ne soit trop tard

La petite mise en garde de Samsung communiqué de presse a reçu peu de écho dans les médias à l’époque. « Le cryptage n’est disponible que pour les communications Android à Android », indique-t-il. Mais exactement deux semaines plus tard, le 3 décembre, c’était tout à coup tout ce qui comptait.

Le FBI et la CISA ont choqué le monde cellulaire avec leurs révélations sur Salt Typhoon, alors que des pirates informatiques chinois parcouraient les réseaux américains, apparemment à volonté. C’est « en cours et probablement à plus grande échelle que ce que l’on pensait auparavant », ont prévenu les responsables. Et puis le plus important : les citoyens devraient « utiliser un téléphone portable qui reçoit automatiquement les mises à jour du système d’exploitation en temps opportun, un cryptage géré de manière responsable et une MFA résistante au phishing pour les comptes de messagerie, de réseaux sociaux et d’outils de collaboration », a prévenu le FBI.

Et c’est ainsi que RCS s’est exposé dans ses « habits neufs de l’empereur » aux yeux du monde entier. Quand même Résumé du lecteur prévient ses lecteurs « pourquoi dit-on tout d’un coup « RCS » dans certains de vos textes ? Voici en quoi cela pourrait constituer un énorme risque pour la sécurité. » Vous savez que vous avez un problème sérieux, et qui a entièrement touché le grand public.

Il est impossible d’exagérer l’importance potentielle de cela pour votre téléphone. En un clin d’œil, la confiance dans les messages boursiers qui sous-tendent l’écosystème cellulaire – les SMS se transformant désormais en RCS – a été ébranlée par les forces de l’ordre américaines. Je soupçonne que cela entraînera des changements majeurs sur nos téléphones en 2025.

Le RCS est peu compris. Bien qu’il s’agisse d’un protocole réseau d’opérateur développé pour succéder aux SMS terriblement peu sécurisés, son utilisation est désormais presque entièrement utilisée dans Google Messages. Autres plateformes RCS, notamment aux États-Unis (1,2), poussent les utilisateurs vers Google Messages. En tant que tel, Google Messages est devenu l’alternative à iMessage d’Android, mais avec une vulnérabilité meurtrière enfouie profondément à l’intérieur.

L’avertissement textuel du FBI était en réalité plus compliqué qu’il n’y paraissait à l’époque. Le Bureau a mis l’accent sur le « cryptage géré de manière responsable », ce qui signifie que les forces de l’ordre accèdent au contenu crypté avec un mandat judiciaire si nécessaire. Le cryptage de bout en bout que nous utilisons tous sur nos téléphones pas autorisez cela, même les sociétés qui gèrent les services (Meta, Apple, Google, Signal) ne peuvent pas accéder à votre contenu.

Ironiquement, Apple proposait exactement le type de porte dérobée de cryptage que le FBI souhaite voir rendu plus disponible. Auparavant, il était impossible de sauvegarder iMessage ou de l’exécuter sur plusieurs appareils sans stocker une copie de votre clé de cryptage iMessage dans iCloud qui pourrait être utilisée pour déverrouiller votre sauvegarde. Cependant, cela a maintenant changé et Apple propose un cryptage iCloud complet, ce qui signifie que la porte dérobée s’est fermée.

Related Post

Mais cette tournure a été négligée : l’histoire est devenue une question de sécurité de base du contenu et de la nécessité de protéger les SMS et les appels contre les pirates informatiques à l’intérieur des réseaux américains.

Et alors qu’au départ, l’exposition du RCS concernait uniquement les SMS entre Android et iPhone, où la décision d’Apple d’adopter le protocole standard RC S signifiait l’absence de cryptage de bout en bout entre les messages Google et iMessage, la situation s’est rapidement aggravée.

Blogueur technologique Cue John Gruberqui prévient que Google Messages est « honteusement trompeur quant à la prise en charge du chiffrement de bout en bout… [it] prend en charge E2EE, mais uniquement via RCS et seulement si tous les participants au chat utilisent une version récente de Google Messages », même si sa description sur le Play Store « déclare catégoriquement « Les conversations sont cryptées de bout en bout », point final.

L’argument de Gruber est qu’« il est carrément frauduleux de décrire ainsi la sécurité du transit de Google Messages. Imaginez un utilisateur Android typique sans expertise technique qui suit les conseils (à venir maintenant du FBI) pour utiliser le cryptage de bout en bout pour leur messagerie. Une personne raisonnable qui fait confiance à Google examinerait la propre description de Google Messages par Google et conclurait que si vous utilisez Google Messages, tous vos messages seront sécurisés. C’est faux. Et selon les personnes avec lesquelles vous communiquez (utilisateurs d’iPhone, utilisateurs d’Android avec d’anciens appareils, utilisateurs d’Android qui utilisent d’autres applications de messagerie texte), il est fort probable que la plupart de vos messages ne seront pas sécurisés.

Et cet avertissement de cryptage est être plus largement repris. « Messages Google [is] mettant les utilisateurs américains en danger », Arène téléphonique » a rapporté jeudi, citant le blog de Gruber et avertissant que « la messagerie RCS multiplateforme n’est pas cryptée de bout en bout, c’est pourquoi les utilisateurs iOS et Android devraient envisager d’utiliser des applications tierces comme WhatsApp ou Signal pour s’envoyer des SMS. »

La réalité est qu’Apple et Google ont adopté des approches complètement différentes en matière de messagerie et cela se voit désormais. iMessage d’Apple est sans doute la meilleure architecture de messagerie disponible aujourd’hui. Il est entièrement sécurisé, fonctionne de manière transparente sur plusieurs appareils en s’appuyant sur l’architecture d’appareils de confiance d’Apple et s’intègre à sa plate-forme FaceTime tout aussi sécurisée pour ajouter des appels vocaux et vidéo au mix.

Comparez cela avec Google Messages, qui a ajouté un cryptage après-vente autour de RCS qui ne fonctionne que lorsque des versions récentes de sa propre application sont utilisées de tous les côtés d’une conversation. Il n’existe pas d’option d’appel sécurisé, et il est beaucoup plus difficile de remarquer si votre SMS est sécurisé ou non : il n’y a pas d’équivalent en bulle bleue/verte.

« Nous avons travaillé dur pendant des années pour faire de RCS la norme en matière de messagerie multiplateforme améliorée, et Samsung a joué un rôle déterminant dans l’adoption croissante de RCS », a déclaré Google dans cette communication commune avec Samsung, le fabricant de Galaxy ajoutant que « RCS est devenant rapidement la norme de messagerie moderne et universellement adoptée, améliorant les communications pour les utilisateurs du monde entier.

C’était il y a moins d’un mois, ça n’a pas bien vieilli.

Alors, où cela laisse-t-il les utilisateurs d’Android ? Si vous vous souciez de la sécurité de vos messages (et ce n’est pas le cas de tous les utilisateurs), vous devez alors passer à une plate-forme sécurisée. Vous pouvez mettre de côté les avertissements de méta-confidentialité du titre, WhatsApp est très bien, même si Signal est meilleur. Et même s’il existe également un protocole RCS plus sécurisé en préparation, il ne sera pas disponible et déployé assez tôt pour répondre à l’avertissement envoyé par SMS du FBI.

ForbesMicrosoft confirme la suppression du mot de passe pour 1 milliard d’utilisateurs : attaque en hausse de 200 %

Y a-t-il un moyen de revenir pour RCS ? Cela dépend d’Apple. L’iMaker était clairement réticent à adopter RCS en premier lieu, et l’a fait tout en avertissant qu’il n’était pas sécurisé et qu’il était ouvert à l’interception des opérateurs, avant même l’arrivée de Salt Typhoon. Le dernier micrologiciel de l’iPhone, iOS 18.2, offre également aux utilisateurs la possibilité de modifier la messagerie par défaut, ce qui rend la récupération RCS encore plus difficile.

Si Apple et Google annoncent rapidement un pont entièrement crypté entre Google Messages et iMessage, alors ils changeront complètement le paysage de la messagerie et offriront « l’expérience de messagerie universelle et transparente, améliorant la façon dont les utilisateurs se connectent dans le monde entier », que Samsung et Google ont promue. Sans cela, RCS n’a aucun moyen de revenir en arrière pour rivaliser avec les alternatives.

Categories: Tech