Google n’a pas la meilleure réputation en matière de vie privée, mais la situation s’améliore. L’application de messagerie de l’entreprise, Google Messages, est désormais préinstallée sur la plupart des nouveaux appareils Android et annonce que ses conversations sont chiffrées de bout en bout. D’après la façon dont Google promeut son application, on pourrait penser que l’utilisation de celle-ci signifie que toutes vos discussions avec vos amis, votre famille et vos collègues sont protégées. Mais ce n’est pas le cas.
Certaines conversations Google Messages sont chiffrées de bout en bout
Ce n’est pas que Google mente ouvertement ici. Dans certaines circonstances, vos conversations via Google Messages sont chiffrées de bout en bout, ce qui signifie que seules vous et les autres membres de la conversation pouvez lire le contenu des messages envoyés.
Cela est rendu possible grâce à un protocole de messagerie appelé RCS (Rich Communication Services). Le RCS présente de nombreux avantages par rapport à l’ancien protocole de messagerie SMS (indicateurs de frappe, partage de photos et vidéos en haute résolution, meilleur support pour les discussions de groupe, etc.), mais l’avantage clé dans notre cas est le chiffrement de bout en bout. Lorsque vous envoyez un message RCS depuis votre téléphone à un autre téléphone utilisant RCS de manière à prendre en charge le chiffrement de bout en bout, ce message est “codé” et apparaît incompréhensible pour quiconque tenterait de l’intercepter. Pour le déchiffrer, vous avez besoin de la “clé”, qui, pour la messagerie, est l’un des appareils impliqués dans la discussion. Les messages RCS apparaissent d’un bleu foncé, contrairement aux messages SMS qui sont d’un bleu clair.
Ainsi, quelqu’un avec Google Messages envoyant un message à une autre personne utilisant également Google Messages peut profiter de cet avantage de chiffrement et ne pas s’inquiéter de l’interception ou de la compromission de ses messages. Cela se produit également automatiquement lorsque les deux parties prennent en charge le chiffrement : chaque fois que vos conversations sont chiffrées de bout en bout, vous verrez une petite icône de cadenas sur le bouton d’envoi et à côté de l’horodatage.
Toutefois, dans toutes les autres situations, ce chiffrement n’est pas pris en charge et, par conséquent, vos messages ne sont pas protégés.
Quand Google Messages n’est pas chiffré de bout en bout
Rappelez-vous qu’il y a deux composants clés pour garantir que ces messages sont chiffrés de bout en bout : les messages doivent être envoyés via RCS et toutes les parties doivent utiliser Google Messages. Malheureusement, il existe de nombreuses situations où une ou les deux exigences ne sont pas remplies.
Restons sur Android un instant. Google Messages est peut-être l’application de messagerie par défaut installée sur la plupart des nouveaux appareils Android, mais elle est loin d’être la seule option disponible, même si Verizon et AT&T ont toutes deux abandonné leurs applications de messagerie. Supposons que vous utilisiez Google Messages sur votre téléphone, mais que votre ami utilise Samsung Messages. Toute discussion entre vous deux ne sera plus chiffrée de bout en bout. Il en va de même s’il utilise la populaire application Textra SMS : tout ce qui n’est pas Google Messages ne vous donne plus accès à la messagerie chiffrée de bout en bout lorsque vous utilisez Google Messages vous-même.
Il en va de même lorsque vous envoyez des messages à des utilisateurs d’iPhone. Depuis iOS 18, iOS prend en charge RCS, ce qui devrait signifier que les messages entre Google Messages sur Android et Messages sur iPhone sont chiffrés. Mais non : c’est toujours du RCS, mais il n’y a pas de chiffrement de bout en bout. Vous bénéficiez des autres avantages du RCS, comme les bulles de saisie et le fonctionnement des chats de groupe (merci Dieu), mais les messages restent non sécurisés.
Google doit être plus clair sur la façon dont sa plateforme de messagerie gère le chiffrement
John Gruber de Daring Fireball a récemment souligné ce problème dans un article de blog, exprimant sa frustration envers Google concernant ses déclarations biaisées sur la sécurité. En effet, si vous consultez la page Play Store de Google Messages, la deuxième image indique “Les conversations sont chiffrées de bout en bout.” Gruber souligne qu’une déclaration précise serait : “Certaines conversations sont chiffrées de bout en bout,” ce qui amènerait naturellement les clients à demander “Eh bien, quelles conversations sont celles-là ?” Google souhaite probablement simplifier les choses ici, sachant que de nombreux utilisateurs de Google Messages communiqueront avec d’autres utilisateurs de Google Messages utilisant RCS. Mais le fait qu’il existe tant de situations où cela n’est pas le cas signifie que les gens vont supposer que leurs messages sont chiffrés alors qu’ils ne le sont pas.
La description de l’application est un peu plus claire : “La vie privée est importante : soyez tranquille, vos discussions personnelles sont protégées par un chiffrement de bout en bout entre les utilisateurs de Google Messages, afin que personne (y compris Google et des tiers) ne puisse lire ou consulter vos messages et vos pièces jointes, sauf la personne à qui vous envoyez le message. De plus, profitez d’une protection avancée contre le spam.” Mais même ici, Google ne dit pas que tous les participants doivent utiliser RCS, et s’ils utilisent une version plus ancienne de Google Messages, ils pourraient ne pas avoir l’option de chiffrement de bout en bout, compromettant ainsi la sécurité de la conversation.
Cela ne signifie pas que vous devez abandonner complètement Google Messages. Nombre de vos amis Android l’utilisent probablement, de sorte que vos discussions sont peut-être déjà chiffrées de bout en bout. Et l’association GSM, qui développe RCS, travaille à apporter le chiffrement au RCS sur iPhone. Cependant, si vous prenez votre vie privée au sérieux, et que vous avez un contact qui ne prend pas en charge les discussions chiffrées de bout en bout via Google Messages pour une raison quelconque, vous pourriez tous deux passer à une plateforme qui prend en charge ce chiffrement de manière native, comme Signal ou WhatsApp.
