Benoit Grünemwald : [0:01] Je ne vois pas le GIGN, par exemple, préparer un assaut sur une messagerie Telegram Benoit Grünemwald : [0:06] à partir de leur smartphone personnel. Surtout que les personnels de ce type-là, police et gendarmerie, ont accès à des terminaux qui s'appellent NEO. Monde Numérique : [0:19] Bonjour Benoît Grünemwald. Benoit Grünemwald : [0:21] Bonjour Jérôme Colombain. Monde Numérique : [0:22] Expert cybersécurité chez ESET. On se retrouve pour ce rendez-vous en partenariat entre ESET et Monde Numérique. Benoît, 80% des Français utilisent les messageries instantanées, WhatsApp, Messenger, Signal, Telegram, etc. Au niveau mondial, c'est plus d'un terrien sur deux, ce qui n'est pas sans risque. On va parler de ce qui s'est passé aux États-Unis récemment. Nous devenons de plus en plus dépendants à ces outils, aussi bien à titre personnel que professionnel. Benoit Grünemwald : [0:49] Oui, c'est assez fou. Chacun les utilise. On peut estimer en 2024 qu'il y avait à peu près 40 millions d'utilisateurs de Signal qu'il y avait à peu près 700 millions d'utilisateurs de Telegram et une autre messagerie très importante en termes de parts de marché, c'est bien entendu WhatsApp, qui à cette époque-là était estimé aux alentours de 2 milliards d'utilisateurs actifs chaque mois. Donc effectivement, qui n'utilise pas de messagerie instantanée chiffrée ou non d'ailleurs, au quotidien, à la place des bons vieux SMS. Monde Numérique : [1:19] Alors revenons sur cet incident assez incroyable aux États-Unis, une conversation entre deux hauts responsables militaires avec le vice-président américain J.D. Vance et au milieu, quelqu'un qui n'aurait jamais dû y être mais qui a tout écouté, qui a tout suivi, enfin, ce n'est pas réécrit, un journaliste américain. Ça fait un scandale aux États-Unis. Pour bien comprendre, il faut quand même préciser que normalement, cette messagerie est sécurisée. Mais là, le problème n'est pas un problème technique. Benoit Grünemwald : [1:49] Effectivement, ce n'est pas du tout un problème technologique. C'est simplement une erreur de manipulation. Ce journaliste a été invité au groupe certainement le plus sélect du monde, le plus VIP, et il s'est ainsi retrouvé dans la conversation avec des militaires, comme vous le disiez. Et à partir de là, il a pu suivre les différents échanges et être averti de ce qu'il allait se passer sur le terrain. Monde Numérique : [2:13] Donc, c'est incroyable parce qu'on a beau mettre de la sécurité, finalement, c'est une faille humaine. C'est un problème de sécurité, mais c'est un problème humain. Benoit Grünemwald : [2:21] Oui, complètement. C'est le fait d'avoir ajouté une personne sans vérifier véritablement son identité. C'est juste peut-être qu'il a sélectionné son numéro de téléphone et il s'est dit, lui, je vais l'ajouter aussi à la conversation. C'est pour ça qu'il faut toujours distinguer sa vie professionnelle et sa vie personnelle. Bien généralement, ne pas utiliser le même smartphone. C'est-à-dire que si vous discutez entre dignitaires ou entre militaires, vous allez utiliser un smartphone. Et si vous discutez avec la vie extérieure, vous allez utiliser un autre smartphone. Et comme ça, vous allez éviter d'avoir ce type d'actes manqués et de confusion entre les différents contacts. Et en France, on voit bien que l'on a des applications qui vont nous permettre aussi d'éviter de mélanger les genres. Si vous faites partie du gouvernement, vous allez avoir par exemple la messagerie Tchap. Vous allez avoir Olvid. Donc, ce sont des messageries qui sont tout aussi sécurisées, mais qui fonctionnent, elles, avec des annuaires, qui fonctionnent avec des permissions. Benoit Grünemwald : [3:18] Vous n'allez pas pouvoir, comme ça, inviter n'importe qui à rejoindre n'importe quel groupe. Monde Numérique : [3:22] Alors, est-ce que ça veut dire qu'un tel incident ne pourrait pas arriver en France ? Est-ce que tous les responsables politiques appliquent de strictes consignes de sécurité ? Benoit Grünemwald : [3:31] Alors, je ne pense pas que ce soit le cas pour certains hommes politiques, notamment parce qu'ils n'ont pas tous la fourniture d'un matériel spécifique. Par contre, l'accès à la messagerie de CHAP, je pense que c'est accessible à toute personne travaillant pour le gouvernement. Par contre, je ne vois pas le GIGN, par exemple, préparer un assaut sur une messagerie Télégramme à partir de leur smartphone personnel. Surtout que les personnels de ce type-là, police et gendarmerie, ont accès à des terminaux qui s'appellent NEO, Il y a eu NEO 1 et maintenant il y a NEO 2. Et ces terminons sont fournis par l'État et sont hautement sécurisés. Et ils sont surtout fermés, même s'ils permettent de discuter uniquement avec les forces de l'ordre. Monde Numérique : [4:16] Benoît, je reviens sur Signal, Telegram, etc., qui, on le voit, sont quand même également utilisés par ce type de professionnels. Alors, elles ont la réputation d'être hyper sécurisées, inviolables. Est-ce qu'elles le sont réellement, ces applications ? Benoit Grünemwald : [4:31] Alors rien n'est inviolable, ça c'est un principe de base en cybersécurité, il faut rester très humble à la fois quand on développe les applications mais également quand on les utilise, toujours vigilant. Et donc la faille peut provenir à la fois de l'utilisateur, on le voit avec ce qui s'est passé aux Etats-Unis, soit elle peut venir d'une faille du logiciel. C'est pour ça, d'ailleurs, que c'est bien d'avoir Signal qui est disponible sur un endroit qui s'appelle GitHub, où on met son code source, qui fait que n'importe qui peut aller l'ausculter, l'auditer, comme on dit. Alors, n'importe qui, il faut quand même avoir des compétences pour comprendre le code, et ça va permettre de vérifier par un grand nombre de personnes que ce code-là est conforme à ce qu'il indique, et éviter, par exemple, qu'il y ait des backdoors qui soient déposées à l'insu des utilisateurs. Monde Numérique : [5:19] Donc, c'est cette transparence qui garantit la sécurité de ces applications, en fait. Mais WhatsApp n'est pas en open source, par exemple. Benoit Grünemwald : [5:26] Complètement. Alors, la transparence, là, pour le coup, concerne principalement Signal. Monde Numérique : [5:30] Signal, d'accord. Puis, on sait ce qui s'était passé aussi avec Telegram, etc. Donc, parce que malgré tout, ces applis ont vraiment la réputation d'être inviolables. Alors, elles le sont ou pas. On sait aussi qu'il y avait cette entreprise israélienne qui avait à un moment découvert une faille dans WhatsApp qu'elle avait exploité via un logiciel permettant, d'aller écouter, d'aller violer des échanges. Logiciel qui était vendu très cher à des puissances étatiques, on va dire. Benoit Grünemwald : [5:56] Là, le problème, c'est que le logiciel, une fois installé, devenait le maître total. Il prenait le contrôle total du smartphone. Donc, quelle que soit l'application que l'on utilisait, au final, comme ce logiciel espion avait le contrôle total sur l'appareil, au final, il arrivait à lire quasiment tout. Monde Numérique : [6:14] Alors, quoi qu'il en soit, ces applis, elles ont la réputation d'être hyper sécurisées, à tel point que c'est ça qui pose un problème aux forces de sécurité. Pour le coup, on le voit dans le cadre d'enquêtes contre la cybercriminalité, la criminalité, le narcotrafic, etc. Et c'est pour ça que récemment, il y avait donc cette proposition de loi du ministre de l'Intérieur pour essayer de demander à ce qu'il y ait un accès pour Monde Numérique : [6:38] les enquêteurs dans le cadre d'enquêtes judiciaires. Ça paraît légitime, un peu comme pour écouter les conversations téléphoniques, mais il y a eu une vraie levée de boucliers du monde de la cybersécurité contre ça. Pour quelles raisons, Benoît ? Benoit Grünemwald : [6:49] Eh bien, parce que ça provoque un affaiblissement de la sécurité générale. C'est-à-dire qu'à partir du moment où vous ouvrez une porte, qu'elle soit dérobée ou non, la question, c'est qui contrôle cette porte ? Qui l'utilise ? Peut-elle être détournée ? Et c'est là que, malheureusement, peuvent arriver les failles, parce qu'on l'a vu, notamment aux USA, il y a eu des écoutes téléphoniques, opérée par un opérateur qui s'appelle Salt Typhoon, qui est aligné avec l'État chinois, qui est rentré dans un certain nombre d'opérateurs téléphoniques et qui a réussi à détourner la demande de requêtes officielles qui lui permettait de mettre sur écoute des personnes et d'avoir les écoutes. Donc, imaginez qu'une personne, une entité, arrive à détourner cette porte. Dans ce cas-là, on perd complètement le contrôle. Donc le problème n'est pas de donner ou pas accès à l'État pour des raisons légitimes, le problème est d'ouvrir potentiellement une faille, une brèche, une vulnérabilité qui sera exploitée, non pas par la police, parce qu'elle aura bien sûr les autorisations et ça sera encadré, mais par potentiellement quelqu'un qui va en abuser et peut-être même passer inaperçu, comme ça a été le cas pendant un petit moment pour ce groupe d'attaquants présumé chinois, Salt Typhoon, qui a quand même mis à mal quasiment une dizaine d'opérateurs téléphoniques aux Etats-Unis. Monde Numérique : [8:09] Oui, c'est ça qui est parfois difficile à comprendre quand on se place du côté public sans connaître toutes les substituts. Benoit Grünemwald : [8:17] Du côté de la protection de la vie privée. Monde Numérique : [8:18] Oui, absolument. Benoit Grünemwald : [8:18] Le problème n'est pas forcément de donner des super pouvoirs, si ça gêne toujours un peu la quadrature du net, le respect de notre vie privée. Il y a un certain nombre d'acteurs qui militent pour ça. Mais le problème, il est surtout qu'on ouvre une sorte de boîte de Pandore, on ouvre une porte et finalement, on se dit, « Mais ne vous inquiétez pas, la clé n'est gardée que par les autorités. » Sauf qu'on sait bien que les clés, surtout dans le numérique, peuvent se dupliquer, voire même qu'il peut y avoir une porte dérobée sur la Benoit Grünemwald : [8:48] porte dérobée qui permettrait d'exploiter une vulnérabilité de rentrée. Monde Numérique : [8:52] Bon, puis alors, pour les utilisateurs lambda que nous sommes, toujours de ces messageries instantanées, sécurisées, il y a aussi un phénomène qui se développe, qui est un système d'arnaque par QR code. Ça s'appelle le quishing, expliquez-nous ça. Benoit Grünemwald : [9:10] Effectivement, le quishing, c'est la contraction de QR code et de phishing. Phishing, tout le monde connaît, c'est hameçonnage en français. Et donc, on a vu récemment des militaires ukrainiens se faire harponner, notamment sur Signal. On leur envoyait des QR codes qui faisaient en sorte qu'ils allaient associer, en scannant ce QR code, associer leur compte Signal avec le compte signal d'un opposant et d'un attaquant à un adversaire. Et donc, en scannant ce QR code, l'adversaire allait accéder à l'intégralité de leur conversation. Monde Numérique : [9:43] Évidemment, ça pourrait se produire dans un cadre pas seulement militaire, mais également civil et donc nous arriver à nous. Benoit Grünemwald : [9:50] Oui, complètement. Si quelqu'un a pour objectif de vous suivre, c'est ce que l'on appelle le stakeholderware, par exemple, l'installation d'un logiciel espion ou l'ordre vif, violence intrafamiliale, On pourrait tout à fait imaginer qu'une personne utilise pourquoi pas même d'ailleurs votre téléphone, si c'est un conjoint, un proche, pour scanner ce fameux QR code et ainsi associer son appareil à votre appareil, ce qui fait qu'il recevrait en temps réel l'intégralité de vos conversations et il pourrait ainsi les suivre. Monde Numérique : [10:17] Merci beaucoup, voilà, joie et malheur des messageries instantanées. Merci Benoît Grünemwald, expert cybersécurité chez EZ. Benoit Grünemwald : [10:27] Merci Jérôme.