Le SMS (Short Message Service) ou texto existe depuis le début de la téléphonie mobile (le tout premier SMS(nouvelle fenêtre) a été envoyé sur le réseau Vodafone en 1992).
En France, les premières offres apparaissent en 1997, mais les débuts sont difficiles : l’échange de SMS n’est possible qu’entre des personnes qui utilisent le même opérateur. Le SMS gagne en popularité à partir de 1999 avec l’interopérabilité entre opérateurs, les forfaits avec SMS illimités et les ventes de smartphones, battant chaque année des records à l’occasion du Nouvel An.
Aujourd’hui, les SMS sont proposés par presque tous les opérateurs de téléphonie mobile dans le monde. Même si les Français envoient de moins en moins de SMS(nouvelle fenêtre), il y a peu la France était encore l’un des rares pays à utiliser le SMS (et le MMS) davantage que l’e-mail(nouvelle fenêtre), avec 120 SMS par mois(nouvelle fenêtre) et par abonné au cours du 2ᵉ trimestre 2022 selon l’Arcep.
Le grand avantage du SMS par rapport aux autres solutions qui utilisent internet comme WhatsApp et Telegram, c’est qu’il est universel : il est sur tous les téléphones, ce qui vous permet d’envoyer des textos à tout le monde, quelle que soit la marque du téléphone ou sa plateforme (iOS ou Android).
Contrairement à la messagerie électronique, qui dispose aujourd’hui de solutions sécurisées et chiffrées comme avec Proton Mail(nouvelle fenêtre), les SMS n’ont pas été développés en prenant en compte la sécurité et la confidentialité des communications. Résultat : votre opérateur de téléphonie mobile, votre gouvernement et des hackers peuvent accéder à vos SMS.
Cette situation est d’autant plus inquiétante que beaucoup de codes d’authentification à deux facteurs (A2F) sont encore envoyés par SMS.
Les SMS ne protègent pas la vie privée
Les SMS ne sont pas chiffrés. Votre opérateur de téléphonie mobile peut donc lire tous les textos que vous envoyez ou recevez et transmettre ces informations à des tiers.
En 2019, la police nationale expliquait que les commissariats allaient se doter d’un système permettant d’extraire les SMS(nouvelle fenêtre) (mais aussi les photos et d’autres données) des smartphones Android et iPhone. À l’époque, ce dispositif était déjà en cours de déploiement et devait équiper 500 commissariats d’ici 2024.
De plus, utilisés dans le cadre de l’authentification à deux facteurs (A2F), les SMS peuvent servir à la cybersurveillance(nouvelle fenêtre), à cause des vulnérabilités du SS7.
Les vulnérabilités du SS7
Le système de signalisation numéro 7 ou SS7(nouvelle fenêtre) (en anglais « Signaling System #7 ») est un ensemble de protocoles de signalisation téléphonique utilisés dans la majorité des réseaux téléphoniques du monde entier. Il permet aux réseaux téléphoniques de communiquer entre eux pour connecter les utilisateurs et transmettre des messages entre les réseaux, assurer une facturation correcte et permettre aux utilisateurs d’utiliser l’itinérance sur d’autres réseaux. Il est aussi utilisé pour faciliter l’envoi de SMS.
Constitué d’un amas de technologies obsolètes datant des années 70, bien avant qu’il ne vienne à l’esprit de quiconque d’intégrer des mesures de sécurité, le SS7 est connu depuis longtemps pour son manque de sécurité. Un malfaiteur qui accède au SS7 peut détourner des communications et les intercepter.
- En 2014, deux chercheurs en sécurité informatique démontrent les vulnérabilités du protocole SS7(nouvelle fenêtre) en redirigeant des communications (appels et SMS) vers un autre mobile que celui de son propriétaire. Leur expérience permet aussi une géolocalisation.
- En 2017, des hackers vident des comptes bancaires en détournant des SMS(nouvelle fenêtre) en Allemagne pour recevoir les codes de validation afin de confirmer des virements en ligne.
- Plus tard la même année, une expérience de « piratage éthique » est menée au Canada. L’objectif est de pirater des réseaux canadiens de téléphonie mobile à partir du SS7 pour intercepter les communications d’un député. L’expérience confirme une nouvelle fois la vulnérabilité du SS7.
- En 2020, un expert en cybersécurité présente plusieurs scénarios permettant d’intercepter les SMS(nouvelle fenêtre) (et les appels vocaux) sur les réseaux 2G, 3G et 4G.
- On apprend la même année qu’une société a utilisé le protocole de signalisation SS7 à des fins d’espionnage(nouvelle fenêtre).
Malgré une série d’exemples très médiatisés qui montrent combien la situation est dangereuse, rien n’a été fait pour améliorer la sécurité du SS7. On peut se demander pourquoi et l’une des explications les plus crédibles est que cela est bien trop précieux pour les gouvernements et les forces de l’ordre du monde entier.
Les attaques par SIM swapping
Les opérateurs de téléphonie mobile peuvent facilement transférer les numéros de téléphone d’une carte SIM à l’autre. Cela leur permet d’aider leurs clients quand leur téléphone est volé ou quand ils veulent changer d’opérateur.
Une attaque par SIM swapping (ou Swap de SIM ou encore SIM Swap) ne nécessite pas une grande expertise technique. Dans les cas les plus courants, le hacker contacte le service client de l’opérateur et se fait passer pour le client. Il peut alors transférer frauduleusement le numéro de téléphone de sa victime sur sa propre carte SIM. Jack Dorsey, le cofondateur de Twitter, a par exemple été victime de ce type de piratage(nouvelle fenêtre), après quoi son compte Twitter a publié des messages insultants et racistes.
Le plus grand danger du SIM swapping est qu’il permet à des hackers d’intercepter les codes d’authentification à deux facteurs (A2F) envoyés par SMS à votre numéro de téléphone.
Ce type d’attaque augmente en France(nouvelle fenêtre), notamment dans le cadre du phishing/hameçonnage bancaire où l’attaquant reçoit par SMS des codes de confirmation pour un achat frauduleux.
Enfin, les SMS n’étant pas chiffrés, tout logiciel malveillant installé sur votre téléphone peut y accéder.
iMessage et RCS : de meilleures solutions ?
iMessage
iMessage est la tentative d’Apple de remplacer les SMS par une solution sécurisée, moderne et qui utilise internet. Ce type de message utilise le chiffrement de bout en bout, mais uniquement lors de l’envoi à d’autres utilisateurs Apple.
Techniquement, rien n’empêche iMessage d’être aussi disponible sur Android, mais Apple en a décidé autrement. Cette solution est donc limitée puisqu’Android détient plus de 70 % du marché mondial des systèmes d’exploitation mobiles(nouvelle fenêtre) : iMessage est largement ignoré dans la plupart des pays, y compris en France, au profit de solutions alternatives indépendantes de la plateforme.
Parallèlement, les codes d’authentification à deux facteurs (A2F) ne sont pas envoyés par iMessage, mais bien toujours par SMS, ils ne sont donc protégés par le chiffrement d’iMessage.
De plus, les iMessage sont sauvegardés par défaut sur iCloud sans chiffrement de bout en bout. Apple peut ainsi accéder par défaut à vos messages. Notons aussi qu’en cas de faible réseau, la messagerie se rabat sur les SMS classiques (non chiffrés).
Cela dit, si tous vos contacts ont un iPhone et si vous désactivez les sauvegardes iCloud, iMessage est incontestablement une amélioration par rapport aux SMS.
RCS
Rich Communication Services(nouvelle fenêtre) (RCS) est un protocole de communication ouvert qui offre la plupart des avantages du système iMessage, dont la prise en charge du multimédia, les groupes, le partage de fichiers multimédias volumineux…
Il ne s’agit pas d’un protocole Google, mais Google l’utilise dans l’application de messages d’Android. Bien qu’il ne soit pas chiffré de bout en bout par défaut, Google a développé une extension qui fournit un chiffrement de bout en bout en utilisant le RCS.
Google a demandé à Apple de l’intégrer dans iMessage(nouvelle fenêtre) pour que tout le monde puisse bénéficier d’une plateforme de messagerie plus sûre, mais Apple a refusé(nouvelle fenêtre), estimant que la meilleure solution est tout simplement d’acheter un iPhone.
Le RCS se retrouve donc dans une situation similaire à celle d’iMessage : son potentiel d’amélioration des SMS est limité par son manque de compatibilité multiplateforme.
D’autres solutions pour des SMS sécurisés
Partout dans le monde, les applications de messagerie tierces qui fonctionnent avec internet, comme WhatsApp, Signal, Telegram et même Facebook Messenger, remplacent de plus en plus les SMS.
Ces applications ont l’avantage de vous permettre d’envoyer des messages à des contacts sur différentes plateformes, elles sont toutes beaucoup plus sécurisées que les SMS et beaucoup d’entre elles utilisent un solide chiffrement de bout en bout.
Bien que très apprécié, l’application WhatsApp n’est pas un excellent choix en matière de confidentialité. Même si elle utilise le chiffrement de bout en bout, elle permet à Facebook de recueillir et d’utiliser de manière abusive vos métadonnées(nouvelle fenêtre) : avec qui vous parlez, depuis quel endroit, à quelle heure, à quelle fréquence et sur quel appareil.
Parallèlement, ces applications n’apportent pas de solution pour remplacer l’envoi par SMS de codes d’authentification à deux facteurs (A2F). La meilleure façon de vous protéger est d’utiliser une application d’authentification A2F comme Authy(nouvelle fenêtre), Google Authenticator(nouvelle fenêtre) ou l’application open source andOTP(nouvelle fenêtre) ou FreeOTP(nouvelle fenêtre) au lieu de l’A2F par SMS chaque fois que cela est possible. Malheureusement, éviter l’A2F par SMS n’est pas toujours possible.
Pour conclure
Le SMS est un système totalement défaillant et doit être évité autant que possible. iMessage est utile si tous vos contacts l’utilisent aussi, mais pour la plupart des gens, une application de messagerie tierce sécurisée qui respecte votre vie privée est certainement la meilleure option. Découvrez les meilleures applications de messagerie qui respectent votre vie privée(nouvelle fenêtre).
Et pour ce qui est de la messagerie électronique, vous pouvez créer gratuitement une boite mail Proton, chiffrée de bout en bout. Des millions de personnes dans le monde nous font confiance pour protéger leurs conversations privées.
À bientôt, toujours en sécurité
