Attention, cette appli de messagerie sécurisée a de gros problèmes de... sécurité

Maxence Glineur
Publié le 14 janvier 2023 à 18h30
© Threema
© Threema

Les services chiffrés ont la cote, et un nombre croissant d'acteurs publics et privés d'importance y ont recours. Mais, avec de telles responsabilités, l'intérêt des chercheurs et des hackers n'en est que davantage décuplé, et l'éditeur de Threema vient d'en faire les frais.

Utilisé par le chancelier allemand ou encore par le gouvernement et l'armée suisses, Threema se vante d'être plus fiable que ses concurrents, tels que Signal, également basé en Suisse. Mais des études récentes ont mis en évidence plusieurs failles dans son protocole de sécurité.

Les données de millions d’utilisateurs vulnérables

Un étudiant en informatique de Zurich, accompagné de ses deux directeurs de thèse, a réussi à déjouer les défenses de l'application au moyen de plusieurs méthodes différentes. Ils ont ainsi trouvé un large éventail de situations : l'usurpation de l'identité d'un utilisateur, la réorganisation de la succession des messages échangés, le clonage d'un compte et même l'exploitation du mécanisme de sauvegarde pour récupérer la clé secrète d'un utilisateur.

Certaines de ces failles, qui nécessitent un accès direct à l'appareil de la victime, pourraient permettre à un tiers de scruter les futurs messages de cette dernière à son insu. Un constat plutôt préoccupant, compte tenu de certains clients très importants de l'entreprise. C'est la sécurité dite maximale avancée par Threema qui est ici remise en cause.

Découvertes et communiquées aux développeurs début octobre, les failles ont été comblées près de deux mois plus tard, alors qu'un nouveau protocole de sécurité était déployé sur le service de messagerie. Mais, rien ne dit si ces vulnérabilités ont été exploitées entre-temps, ou même avant la découverte des chercheurs suisses. Ces derniers ont, par ailleurs, rendu leurs conclusions publiques en début d’année, provoquant une réponse publique de la part de Threema le même jour. L'éditeur a exprimé ses remerciements aux chercheurs, tout en soulignant qu'aucune des méthodes d'attaque décrites « n'a jamais eu d'impact significatif dans le monde réel. »

Une réponse de l'éditeur qui laisse perplexe.

L'entreprise en a profité pour affirmer que ses équipes travaillaient déjà sur des correctifs avant que les chercheurs ne les contactent. Tout en ajoutant dans un tweet que « le monde universitaire d'aujourd'hui oblige les chercheurs et même les étudiants à survendre désespérément leurs résultats. » Fortement critiqué par la communauté de la cybersécurité pour sa défiance, voire son mépris des chercheurs concernés, Threema avait déjà été épinglé en janvier 2018 pour des failles de sécurité sur son application Android.

Quelques mois plus tôt, c'était au tour du service de stockage dans le cloud MEGA de voir sa sécurité remise en cause. Si le marché des services chiffrés n'est pas à remettre en cause, il est utile de garder à l'esprit que, même s'il est considéré comme peu probable, un piratage est toujours possible. De plus, même si des entreprises comme Threema ont des principes fondateurs forts en matière de sécurité, et si leurs outils semblent infaillibles, beaucoup dépendent de leur réactivité en cas de défaillance, et de leur sincérité vis-à-vis de leurs clients et surtout… d'eux-mêmes.

Maxence Glineur
Par Maxence Glineur

Geek hyper connecté et féru de podcasts, je suis toujours en train de lire ou écouter des points infos en tout genre. Entre histoire, tech, politique, musique, jeux-video et vulgarisation scientifique : toute l'actualité (ou presque) attise ma curiosité. Sinon, j'aime le rock et le lofi, les game-nights toujours trop longues, les bons films et les nanards.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

A découvrir en vidéo

Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
SPH

Jamais eu confiance dans leur cryptage.
Tiens, j’ai 100Mo de cloud sécurisé. Et bin, je crypte mes données avec un logiciel fait maison et je balance le tout sur ice cloud. Au moins, je suis sûr de moi :+1::sunglasses:

bennukem

Mot de passe sur un post it collé sur l’écran. Impossible à pirater :slight_smile:

Au passage, tu es chez qui pour le cold storage? Je pensais aller chez scalway

vVD

Passez sur la messagerie Olvid…

bennukem

Il y a mieux, Olvid est trop centralisé à mon goût.
Jami (cocorico ?) est pas mal, des options sympas.
Mais mon chouchou, Berty Messenger.

Le soucis comme toujours, comment convaincre tes contact de passer sur autre chose que fb, whatsapp, ou même ces saloperies de Signal ou telegram.

clubic_er

En effet Olvid je suis trés fan , communication : « on est open source » (la réalité seul l’app est opensource pas la partie serveur) bref je trouve olvid trop marketing
Je ne comprends pas pourquoi tu mets signal dans les saloperies il est unanimement reconnu comme fiable apres effectivement il ya le soucis de l’identifiant utilisant ton numero de telephone

Berty Messenger, OK ça a l’air interressant mais j’ai le gros probleme de d’ou vient l’argent

bennukem

Oui, le numéro de téléphone est ce qui me rebute. Hors de question.

Ah, j’ai pas regardé pour les financements de Berty… Et je ne pense pas regarder au bon endroit. Tu me guide ?

Simon_Kenoby

J’aime bien matrix. Peut-être un tout petit peux moins privé que la concurrence (plus de métadonnées), mais il est possible d’auto héberger son propre serveur, tout en ayant la possibilité de communiquer avec d’autre serveurs.

Si non bien d’accord avec le problème des contacts… Pour l’instant j’utilise télégram, et je voudrais passer a autre chose, mais je n’ai pas encore trouvé d’alternative a mon gout.

mcbenny

Je ne veux pas dire du mal, on ne se connait pas, mais tu ne penses pas que c’est un peu présomptueux de penser que toi, précisément, serait meilleur que tout ce qui existe sur le marché ?
On parle d’open source comme étant les meilleurs développement parce qu’ils sont « relus », corrigés, améliorés, etc. Or je suppose que ton dev perso ne l’est pas, donc tu serais meilleur qu’une foule de développeurs ?
Si c’est le cas, bravo, et pense à vendre tes talents. Sinon, bah… tu sais quoi faire.

Ce qui me met la puce à l’oreille c’est « je suis sûr de moi ». Ca me fait penser au texte de Pascal qui disait quelque chose comme « Chacun se trouve suffisamment intelligent, et c’est normal, c’est avec cette même intelligence qu’on se juge soi-même ».

C’est aussi valable pour moi. Mais je me laisse la porte de sortie du « ça va, je suis content de moi, mais p’tet’ en vrai il y a mieux… ».

bennukem

Par logiciel fait maison, certainement un simple script qui utilisent des programmes connus et reconnus, chiffre et envoi sur son s3 automatiquement. Mais dans ce domaine, il est très, très, très rare que tu fasses toi même tes lib de chiffrement.

Nmut

Je ne pense pas qu’il se considère meilleur que d’autres, juste il utilise la méthode du « petit poisson ». Il faut sa propre sauce, même simple, en espérant que cela décourage un hacker qui exploiterait une faille du service qu’il utilise. Si il maitrise l’entropie de son bousin, ça me semble une bonne solution.