Les services chiffrés ont la cote, et un nombre croissant d'acteurs publics et privés d'importance y ont recours. Mais, avec de telles responsabilités, l'intérêt des chercheurs et des hackers n'en est que davantage décuplé, et l'éditeur de Threema vient d'en faire les frais.
Utilisé par le chancelier allemand ou encore par le gouvernement et l'armée suisses, Threema se vante d'être plus fiable que ses concurrents, tels que Signal, également basé en Suisse. Mais des études récentes ont mis en évidence plusieurs failles dans son protocole de sécurité.
Les données de millions d’utilisateurs vulnérables
Un étudiant en informatique de Zurich, accompagné de ses deux directeurs de thèse, a réussi à déjouer les défenses de l'application au moyen de plusieurs méthodes différentes. Ils ont ainsi trouvé un large éventail de situations : l'usurpation de l'identité d'un utilisateur, la réorganisation de la succession des messages échangés, le clonage d'un compte et même l'exploitation du mécanisme de sauvegarde pour récupérer la clé secrète d'un utilisateur.
Certaines de ces failles, qui nécessitent un accès direct à l'appareil de la victime, pourraient permettre à un tiers de scruter les futurs messages de cette dernière à son insu. Un constat plutôt préoccupant, compte tenu de certains clients très importants de l'entreprise. C'est la sécurité dite maximale avancée par Threema qui est ici remise en cause.
Découvertes et communiquées aux développeurs début octobre, les failles ont été comblées près de deux mois plus tard, alors qu'un nouveau protocole de sécurité était déployé sur le service de messagerie. Mais, rien ne dit si ces vulnérabilités ont été exploitées entre-temps, ou même avant la découverte des chercheurs suisses. Ces derniers ont, par ailleurs, rendu leurs conclusions publiques en début d’année, provoquant une réponse publique de la part de Threema le même jour. L'éditeur a exprimé ses remerciements aux chercheurs, tout en soulignant qu'aucune des méthodes d'attaque décrites « n'a jamais eu d'impact significatif dans le monde réel. »
Une réponse de l'éditeur qui laisse perplexe.
L'entreprise en a profité pour affirmer que ses équipes travaillaient déjà sur des correctifs avant que les chercheurs ne les contactent. Tout en ajoutant dans un tweet que « le monde universitaire d'aujourd'hui oblige les chercheurs et même les étudiants à survendre désespérément leurs résultats. » Fortement critiqué par la communauté de la cybersécurité pour sa défiance, voire son mépris des chercheurs concernés, Threema avait déjà été épinglé en janvier 2018 pour des failles de sécurité sur son application Android.
Quelques mois plus tôt, c'était au tour du service de stockage dans le cloud MEGA de voir sa sécurité remise en cause. Si le marché des services chiffrés n'est pas à remettre en cause, il est utile de garder à l'esprit que, même s'il est considéré comme peu probable, un piratage est toujours possible. De plus, même si des entreprises comme Threema ont des principes fondateurs forts en matière de sécurité, et si leurs outils semblent infaillibles, beaucoup dépendent de leur réactivité en cas de défaillance, et de leur sincérité vis-à-vis de leurs clients et surtout… d'eux-mêmes.
Source : The Hacker News
Geek hyper connecté et féru de podcasts, je suis toujours en train de lire ou écouter des points infos en tout genre. Entre histoire, tech, politique, musique, jeux-video et vulgarisation scientifique : toute l'actualité (ou presque) attise ma curiosité. Sinon, j'aime le rock et le lofi, les game-nights toujours trop longues, les bons films et les nanards.
Lire d'autres articles
