🔴 Soldes dernière démarque : jusqu'à - 80% ! 🔴 Soldes dernière démarque : jusqu'à - 80% sur le high-tech

Attention, cette appli de messagerie sécurisée a de gros problèmes de... sécurité

14 janvier 2023 à 18h30
12
threema snow © © Threema
© Threema

Les services chiffrés ont la cote, et un nombre croissant d'acteurs publics et privés d'importance y ont recours. Mais, avec de telles responsabilités, l'intérêt des chercheurs et des hackers n'en est que davantage décuplé, et l'éditeur de Threema vient d'en faire les frais.

Utilisé par le chancelier allemand ou encore par le gouvernement et l'armée suisses, Threema se vante d'être plus fiable que ses concurrents, tels que Signal, également basé en Suisse. Mais des études récentes ont mis en évidence plusieurs failles dans son protocole de sécurité.

Les données de millions d’utilisateurs vulnérables

Un étudiant en informatique de Zurich, accompagné de ses deux directeurs de thèse, a réussi à déjouer les défenses de l'application au moyen de plusieurs méthodes différentes. Ils ont ainsi trouvé un large éventail de situations : l'usurpation de l'identité d'un utilisateur, la réorganisation de la succession des messages échangés, le clonage d'un compte et même l'exploitation du mécanisme de sauvegarde pour récupérer la clé secrète d'un utilisateur.

Certaines de ces failles, qui nécessitent un accès direct à l'appareil de la victime, pourraient permettre à un tiers de scruter les futurs messages de cette dernière à son insu. Un constat plutôt préoccupant, compte tenu de certains clients très importants de l'entreprise. C'est la sécurité dite maximale avancée par Threema qui est ici remise en cause.

Découvertes et communiquées aux développeurs début octobre, les failles ont été comblées près de deux mois plus tard, alors qu'un nouveau protocole de sécurité était déployé sur le service de messagerie. Mais, rien ne dit si ces vulnérabilités ont été exploitées entre-temps, ou même avant la découverte des chercheurs suisses. Ces derniers ont, par ailleurs, rendu leurs conclusions publiques en début d’année, provoquant une réponse publique de la part de Threema le même jour. L'éditeur a exprimé ses remerciements aux chercheurs, tout en soulignant qu'aucune des méthodes d'attaque décrites « n'a jamais eu d'impact significatif dans le monde réel. »

Une réponse de l'éditeur qui laisse perplexe.

L'entreprise en a profité pour affirmer que ses équipes travaillaient déjà sur des correctifs avant que les chercheurs ne les contactent. Tout en ajoutant dans un tweet que « le monde universitaire d'aujourd'hui oblige les chercheurs et même les étudiants à survendre désespérément leurs résultats. » Fortement critiqué par la communauté de la cybersécurité pour sa défiance, voire son mépris des chercheurs concernés, Threema avait déjà été épinglé en janvier 2018 pour des failles de sécurité sur son application Android.

Quelques mois plus tôt, c'était au tour du service de stockage dans le cloud MEGA de voir sa sécurité remise en cause. Si le marché des services chiffrés n'est pas à remettre en cause, il est utile de garder à l'esprit que, même s'il est considéré comme peu probable, un piratage est toujours possible. De plus, même si des entreprises comme Threema ont des principes fondateurs forts en matière de sécurité, et si leurs outils semblent infaillibles, beaucoup dépendent de leur réactivité en cas de défaillance, et de leur sincérité vis-à-vis de leurs clients et surtout… d'eux-mêmes.

Source : The Hacker News

Si le SMS existe encore aujourd'hui, il faut bien avouer qu’il a perdu en popularité de manière exponentielle depuis l’avènement des messageries instantanées en ligne, lesquelles permettent de partager beaucoup plus de contenus, contrairement aux simples textes ou images permis par les SMS/MMS. Cependant, face à l’offre grandissante d'outils en ligne pour communiquer avec ses proches, il peut parfois être difficile de se faire une bonne idée du service qui nous correspond le mieux. Pour vous aider, voici notre comparatif des 9 meilleures messageries instantanées en 2023.
Lire la suite

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
12
9
SPH
Jamais eu confiance dans leur cryptage.<br /> Tiens, j’ai 100Mo de cloud sécurisé. Et bin, je crypte mes données avec un logiciel fait maison et je balance le tout sur ice cloud. Au moins, je suis sûr de moi
bennukem
Mot de passe sur un post it collé sur l’écran. Impossible à pirater <br /> Au passage, tu es chez qui pour le cold storage? Je pensais aller chez scalway
vVD
Passez sur la messagerie Olvid…
bennukem
Il y a mieux, Olvid est trop centralisé à mon goût.<br /> Jami (cocorico ?) est pas mal, des options sympas.<br /> Mais mon chouchou, Berty Messenger.<br /> Le soucis comme toujours, comment convaincre tes contact de passer sur autre chose que fb, whatsapp, ou même ces saloperies de Signal ou telegram.
Peggy10Huitres
Le soucis comme toujours, comment convaincre tes contact de passer sur autre chose que fb, whatsapp, ou même ces saloperies de Signal ou telegram.<br /> En les payant x€ par mois, ça doit se faire
clubic_er
En effet Olvid je suis trés fan , communication : « on est open source » (la réalité seul l’app est opensource pas la partie serveur) bref je trouve olvid trop marketing<br /> Je ne comprends pas pourquoi tu mets signal dans les saloperies il est unanimement reconnu comme fiable apres effectivement il ya le soucis de l’identifiant utilisant ton numero de telephone<br /> Berty Messenger, OK ça a l’air interressant mais j’ai le gros probleme de d’ou vient l’argent
bennukem
Oui, le numéro de téléphone est ce qui me rebute. Hors de question.<br /> Ah, j’ai pas regardé pour les financements de Berty… Et je ne pense pas regarder au bon endroit. Tu me guide ?
Simon_Kenoby
J’aime bien matrix. Peut-être un tout petit peux moins privé que la concurrence (plus de métadonnées), mais il est possible d’auto héberger son propre serveur, tout en ayant la possibilité de communiquer avec d’autre serveurs.<br /> Si non bien d’accord avec le problème des contacts… Pour l’instant j’utilise télégram, et je voudrais passer a autre chose, mais je n’ai pas encore trouvé d’alternative a mon gout.
mcbenny
Je ne veux pas dire du mal, on ne se connait pas, mais tu ne penses pas que c’est un peu présomptueux de penser que toi, précisément, serait meilleur que tout ce qui existe sur le marché ?<br /> On parle d’open source comme étant les meilleurs développement parce qu’ils sont « relus », corrigés, améliorés, etc. Or je suppose que ton dev perso ne l’est pas, donc tu serais meilleur qu’une foule de développeurs ?<br /> Si c’est le cas, bravo, et pense à vendre tes talents. Sinon, bah… tu sais quoi faire.<br /> Ce qui me met la puce à l’oreille c’est « je suis sûr de moi ». Ca me fait penser au texte de Pascal qui disait quelque chose comme « Chacun se trouve suffisamment intelligent, et c’est normal, c’est avec cette même intelligence qu’on se juge soi-même ».<br /> C’est aussi valable pour moi. Mais je me laisse la porte de sortie du « ça va, je suis content de moi, mais p’tet’ en vrai il y a mieux… ».
bennukem
Par logiciel fait maison, certainement un simple script qui utilisent des programmes connus et reconnus, chiffre et envoi sur son s3 automatiquement. Mais dans ce domaine, il est très, très, très rare que tu fasses toi même tes lib de chiffrement.
Nmut
Je ne pense pas qu’il se considère meilleur que d’autres, juste il utilise la méthode du « petit poisson ». Il faut sa propre sauce, même simple, en espérant que cela décourage un hacker qui exploiterait une faille du service qu’il utilise. Si il maitrise l’entropie de son bousin, ça me semble une bonne solution.
SPH
Jamais pensé être meilleur qu’un autre. Juste pas confiance dans les différents chiffrements du net.
Voir tous les messages sur le forum

Derniers actualités

Star Wars: Visions revient bientôt... et pas à n'importe quelle date !
Sous Windows 10 ? Avez-vous vu cette gigantesque invitation à installer Windows 11 (merci Microsoft) ?
Pénalités, bannissement... Voici ce que change TikTok dans sa modération
Netflix et Ubisoft offrent enfin une suite à cet excellent jeu… et elle est déjà dispo sur mobile !
Soldes Amazon : les 10 offres canons de la dernière démarque
Framework : le laptop modulaire se transforme en un projet triple-écran rétrofuturiste qui fait rêver !
Caméras de sécurité Eufy : oui Anker a menti, mais promet de faire mieux
Semi-conducteurs : les restrictions imposées par le Japon et les Pays-Bas pourraient ne pas suffire
Explorateur Windows 11 : encore des nouveautés dans la prochaine mise à jour
Toujours en croissance, Facebook passe un cap historique !
Haut de page