Agence web » Actualités du digital » Pourquoi les messages texte SMS ne sont pas privés ou sécurisés

Pourquoi les messages texte SMS ne sont pas privés ou sécurisés

Mains tenant un smartphone.
ImYanis / Shutterstock.com

Vous pourriez penser que passer de Facebook Messenger à des messages texte à l’ancienne aiderait à protéger votre vie privée. Mais les SMS standard ne sont pas très privés ou sécurisés. Le SMS est comme le fax – une norme ancienne et dépassée qui refuse de disparaître.

Votre opérateur cellulaire peut voir vos messages SMS

Avec les SMS, les messages que vous envoyez ne sont pas chiffrés de bout en bout. Votre opérateur de téléphonie mobile peut voir le contenu des messages que vous envoyez et recevez. Ces messages sont stockés sur les systèmes de votre fournisseur de téléphonie mobile. Ainsi, au lieu qu’une entreprise de technologie comme Facebook voit vos messages, votre fournisseur de services cellulaires peut voir vos messages.

Les opérateurs cellulaires stockent le contenu de ces messages pendant différentes durées. Les messages ne sont souvent conservés que pendant plusieurs jours, mais ils stockent les métadonnées (quel numéro a envoyé un message à quel numéro et à quelle heure) encore plus longtemps. Ces dossiers pourraient faire l’objet d’une assignation dans le cadre de procédures judiciaires – par exemple, les enregistrements de messages texte sont une forme courante de preuve dans les affaires de divorce.

Comparez cela à une application de chat cryptée de bout en bout comme Signal. Signal n’a pas le contenu de vos communications. Signal ne sait même pas à qui vous parlez. Vos données de conversation ne sont stockées que sur votre appareil et l’appareil de la personne à qui vous parlez – c’est tout.

Cela mis à part, devriez-vous faire confiance à votre fournisseur de téléphonie mobile pour vos conversations? Eh bien, en 2019, AT&T, Sprint et T-Mobile se sont tous révélés vendre des données de localisation des clients à des agrégateurs. Il était utilisé par tout le monde, des esclaves sous caution aux chasseurs de primes voyous. (Après que cela ait été rapporté dans les nouvelles, les opérateurs de téléphonie mobile ont promis de s’arrêter.)

Voulez-vous que ces entreprises voient tout le contenu de vos conversations personnelles?

Les messages SMS peuvent être interceptés par des criminels

Tours cellulaires devant un fond de coucher de soleil.
SERDTHONGCHAI / Shutterstock.com

Mais les SMS sont utilisés pour la sécurité, non? Il y a une raison pour laquelle chaque banque et institution financière se fie aux SMS pour vérifier votre identité – n’est-ce pas?

Eh bien, oui, il y a une raison. Mais cette raison n’est pas à cause de la sécurité. C’est juste que tout le monde a un numéro de téléphone. Exiger une confirmation par SMS ajoute une sécurité supplémentaire. Même si les SMS ne sont pas particulièrement sécurisés, cela garantit au moins qu’un attaquant doit intercepter un message SMS en plus de saisir votre mot de passe.

Les SMS peuvent être interceptés. Les réseaux de téléphonie mobile du monde entier sont connectés les uns aux autres via le protocole du système de signalisation n ° 7 (SS7). C’est ainsi que votre téléphone peut se connecter à un réseau cellulaire et passer et recevoir des appels, même lorsque vous vous trouvez dans un autre pays à l’autre bout du monde.

Le système SS7 a été attaqué à plusieurs reprises par des pirates qui ont espionné des SMS ou les ont interceptés. Ceci est particulièrement utile lors de la compromission de comptes bancaires, par exemple – les attaquants peuvent fouiner sur les codes de vérification qui sont généralement envoyés par SMS, les utiliser pour accéder aux comptes bancaires et les vider.

C’est pourquoi les professionnels de la sécurité ont recommandé de ne pas utiliser SMS pour l’authentification à deux facteurs. Une application qui génère des codes sur votre appareil ou une clé de sécurité physique est beaucoup plus à l’épreuve des balles. (Cependant, si le SMS est la seule option disponible, le SMS vaut mieux que rien.)

Les messages SMS peuvent être surveillés par les autorités

Les gouvernements du monde entier ont accès à des «raies pastenagues», des appareils qui imitent essentiellement une tour cellulaire. Lorsqu’ils sont placés à proximité de votre emplacement physique, ils incitent votre téléphone à s’y connecter (car votre téléphone se connecterait à une tour cellulaire normale). L’appareil stingray peut alors suivre vos mouvements et voir vos SMS, tout comme votre opérateur de téléphonie mobile.

Au-delà de la surveillance locale, les messages SMS peuvent également être balayés dans des systèmes de surveillance plus grands. Selon des documents publiés par Edward Snowden en 2014, la NSA collectait, à l’époque, plus de 200 millions de SMS par jour en provenance du monde entier.

Les services de renseignement d’autres pays ont également accès aux raies et à la technologie de surveillance par SMS, il est donc clair pourquoi les applications de communication cryptées comme Signal et Telegram sont particulièrement populaires parmi les militants vivant sous des régimes répressifs. Par exemple, Telegram et Signal sont interdits en Iran.

Votre numéro de téléphone est étonnamment facile à détourner

Au-delà des SMS, les numéros de téléphone ont en fait une très mauvaise sécurité – au niveau de l’opérateur. Un escroc peut appeler votre opérateur de téléphonie mobile ou se rendre dans un magasin et se faire passer pour vous. Si l’escroc a suffisamment de détails et peut tromper les représentants du service client de votre opérateur, ils peuvent prendre le contrôle de votre numéro de téléphone. Ils peuvent demander à l’opérateur de «transférer» votre numéro de téléphone vers un autre opérateur de téléphonie mobile, comme vous le feriez si vous passiez à un autre opérateur de téléphonie mobile. Ou, ils peuvent demander à l’opérateur de délivrer une nouvelle carte SIM liée à votre numéro de téléphone et de désactiver votre carte SIM existante, supprimant ainsi l’accès à votre numéro de téléphone.

Maintenant, l’attaquant aurait votre numéro de téléphone. Avec cela, ils peuvent accéder à des comptes protégés par une authentification à deux facteurs par SMS. Pour un escroc individuel, tromper un membre du service client est plus facile que de pirater SS7, après tout. C’est ce qu’on appelle une «escroquerie de port-out» ou une «attaque par échange de carte SIM».

Vous pouvez souvent protéger votre numéro de téléphone en ajoutant des codes PIN supplémentaires et des fonctions de sécurité avec votre fournisseur de services cellulaires. Renseignez-vous auprès de votre fournisseur de services cellulaires pour connaître les fonctionnalités de sécurité qu’il propose pour vous protéger contre les escroqueries de port-out.

Cela est arrivé à un bon nombre de personnes, suffisamment pour que la FCC et le Better Business Bureau aient émis des avertissements concernant cette arnaque.

iMessage et RCS: mieux que les SMS?

Une conversation iMessage avec des bulles bleues sur iPhone.
DenPhotos / Shutterstock.com

L’application Messages sur iPhone prend en charge les SMS et le service iMessage d’Apple. Sur Android, de plus en plus de téléphones Android prennent en charge la norme RCS (Rich Communication Services) plus moderne. Les deux sont conçus pour «mettre à niveau» silencieusement les conversations par SMS vers des conversations plus modernes et sécurisées lorsque les deux personnes utilisent des appareils qui les prennent en charge. Alors, comment se comparent-ils aux SMS?

L’iMessage d’Apple se superpose aux SMS dans un sens, en utilisant des numéros de téléphone comme identifiants. Si vous et la personne à qui vous souhaitez envoyer un SMS possédez un iPhone et avez activé iMessage, tout texte que vous envoyez sera envoyé en tant qu’iMessage à la place. Ceux-ci sont chiffrés de bout en bout et envoyés via les serveurs d’Apple. Vous saurez qu’iMessage est utilisé car les messages auront des bulles bleues. Si vous voyez des bulles vertes à la place, l’application Messages utilise plutôt les SMS, car vous envoyez un message à quelqu’un sans iMessage, probablement une personne qui est un utilisateur Android.

La norme RCS imposée aux utilisateurs d’Android – considérez-la comme l’équivalent Google / Android de l’iMessage d’Apple – ne prenait pas en charge le chiffrement de bout en bout à partir de janvier 2021. En novembre 2020, Google travaillait sur l’ajout de bout en bout. terminer le chiffrement vers RCS. Cela signifie que même avec ce nouveau système RCS sophistiqué sur votre téléphone Android, votre opérateur de téléphonie mobile peut toujours voir le contenu des messages que vous envoyez, tout comme avec les SMS.

Les problèmes avec les SMS, résumés

Résumons rapidement les problèmes liés aux SMS et comparons-les à une application de chat cryptée de bout en bout sécurisée comme Signal.

Avec SMS:

  • Votre opérateur de téléphonie mobile peut voir le contenu des messages que vous envoyez et recevez. Tous les documents recueillis pourraient être assignés à comparaître dans le cadre de procédures judiciaires.
  • Les messages SMS peuvent être interceptés par des pirates en raison des faiblesses de l’ancien protocole branlant qui les alimente. Cela met en danger les comptes financiers et autres.
  • Les autorités peuvent déployer des raies pastenagues pour surveiller le contenu des messages texte dans une zone.
  • Les escrocs peuvent essayer de voler votre numéro de téléphone portable en trompant le personnel du service client de votre fournisseur de téléphonie mobile.

Avec Signal, par exemple:

  • Votre opérateur de téléphonie mobile ne peut pas voir le contenu de vos messages. Même Signal ne peut pas voir le contenu de vos messages ou les personnes que vous contactez – cela reste un secret. Signal ne collecte pas ces données. S’il est contraint par une assignation, Signal peut révéler presque rien à propos de votre utilisation du service.
  • Les messages de signalisation ne peuvent pas de manière réaliste être détournés par des pirates. Ils devraient compromettre le protocole de cryptage Signal, que les experts en sécurité jugent excellent. (En revanche, SS7 a été compromis à plusieurs reprises.)
  • Les Stingrays ne peuvent pas voir vos conversations. Les autorités ne peuvent pas surveiller le contenu des messages Signal, non sans mettre la main sur un téléphone qui les contient. Tout ce qu’ils peuvent voir, c’est le trafic crypté qui va et vient aux serveurs de Signal.
  • Une escroquerie de port-out qui capture votre numéro de téléphone ne donnerait pas accès à votre compte Signal. Vous pouvez protéger votre compte Signal avec un code PIN, de sorte qu’un escroc ne peut pas simplement accéder à votre compte Signal. Même si l’escroc pouvait en quelque sorte deviner votre code PIN et accéder à votre compte Signal, vos messages Signal sont stockés sur votre téléphone et ne seront synchronisés avec aucun nouvel appareil ayant accès à votre compte.

Ce que vous devriez utiliser à la place

Signalez les applications affichant la liste des conversations et la conversation.
Signal

Nous avons utilisé Signal comme exemple ici car le contraste est si frappant – Signal est l’application de chat privé la plus largement recommandée, avec un cryptage de bout en bout toujours actif.

Si vous avez un iPhone, communiquer avec iMessage est beaucoup plus privé et sécurisé que d’utiliser de simples SMS. Espérons que les utilisateurs d’Android auront un jour des messages cryptés de bout en bout sécurisés intégrés à leurs appareils après des améliorations apportées à RCS. Malheureusement, iMessage et RCS ne sont pas compatibles entre eux, de sorte que les iPhones et les téléphones Android devront communiquer par SMS ou basculer vers des applications de chat différentes qui ne sont pas intégrées.

D’autres applications de chat sont également une option. Telegram est populaire, bien qu’il n’utilise pas le cryptage de bout en bout par défaut. WhatsApp utilise au moins un cryptage de bout en bout par défaut, contrairement à Facebook Messenger, si vous faites confiance à une application de chat gérée par Facebook. Mais même Facebook Messenger est sans doute plus sécurisé que les SMS – vous faites confiance à Facebook pour vos messages, mais au moins vous n’avez pas à vous soucier des problèmes de l’ancien et grinçant vieux protocole SS7.

Pour une sécurité à deux facteurs, il est préférable d’éviter les SMS pour les tâches vraiment critiques. Malheureusement, certains services retomberont de toute façon à deux facteurs – pour plus de commodité. Par exemple, Google offre une protection avancée aux journalistes, militants, chefs d’entreprise et politiciens qui ont besoin d’une sécurité maximale pour leurs comptes, et cela nécessite l’utilisation d’une clé de sécurité physique. Cela dit, la sécurité à deux facteurs basée sur les SMS est toujours meilleure que rien.

L’avenir des SMS: sera-t-il jamais réglé?

Le SMS n’est qu’une technologie dépassée. Il n’a manifestement pas été conçu en gardant à l’esprit la confidentialité et la sécurité, et ces décisions de conception sont toujours d’actualité.

Espérons que cela sera corrigé à l’avenir. Si RCS devient plus mature, obtient un cryptage de bout en bout et est disponible sur tous les téléphones Android – eh bien, tout ce qu’Apple aurait à faire est d’accepter de rendre RCS compatible avec iMessage d’une manière ou d’une autre. Ensuite, tous les smartphones modernes auraient une messagerie sécurisée qui ne dépend pas des anciens protocoles intégrés.

Pour l’instant, il est préférable d’éviter les SMS si vous êtes préoccupé par votre confidentialité ou la sécurité de vos comptes.

★★★★★