WhatsApp et Signal sont-ils suffisamment sécurisés pour les communications confidentielles ou secrètes ?
17 octobre 2024
·Blog
·David Wiseman
Les outils de communication cryptés destinés aux consommateurs, tels que WhatsApp et Signal, sont-ils suffisamment sécurisés pour les données confidentielles de votre organisation ? Qu'en est-il des communications secrètes de l'armée ou du gouvernement ? On me pose régulièrement ces questions. La réponse est que cela dépend à la fois de vos besoins et de vos attentes.
Dans le cadre de mes fonctions, je travaille avec les forces armées, les sept gouvernements du G7, huit des dix plus grandes banques et la moitié des entreprises du classement Fortune 100. Ces organisations ont un point commun : elles ont compris que limiter l'espionnage et la perte de données sensibles due à l'interception des communications est un élément clé d'une cyberdéfense holistique. C'est pourquoi nous menons des discussions constantes au sujet de BlackBerry®SecuSUITE®, notre plateforme de communication sécurisée.
La différence entre les applications de chiffrement grand public et BlackBerry
Quelle est la différence entre les applications grand public et un produit tel que SecuSUITE? J'ai récemment participé au podcast Land Forces 2024, où l'animateur Grant McHerron m'a posé cette question. Poursuivez votre lecture pour découvrir un extrait de notre dialogue ou écoutez l'intégralité de l'interview.
Animateur du podcast : Maintenant, parlons d'un sujet que nous connaissons tous : les communications sécurisées. WhatsApp — ou personnellement, je préfère utiliser Signal. C'est juste mon avis. Mais tu as dit quelque chose l'autre jour, lorsque nous discutions, à propos de ces applications... qu'elles ne sont pas aussi sécurisées que nous le pensons.
Ma réponse : Eh bien, quand on regarde Signal et WhatsApp, on constate qu'ils utilisent tous deux le même système de cryptographie. Et ce système de cryptographie n'a rien de répréhensible ! Cependant, la cryptographie ne représente qu'une petite partie des défis à relever en matière de sécurité des communications.
De plus, lorsqu'il s'agit des communications les plus sensibles pour les militaires, les cadres supérieurs, les affaires étrangères et certaines branches du gouvernement, ceux-ci ont besoin d'un système qu'ils peuvent contrôler.
Le contrôle revêt plusieurs significations. D'une part, il implique de comprendre où se trouvent les données, et de savoir que l'on contrôle l'architecture informatique ou l'environnement de ce système. Mais surtout, il implique de contrôler les utilisateurs.
Dans ce cas, par « contrôle », j'entends également qu'ils autorisent spécifiquement certaines personnes à faire partie de ce réseau de communication sécurisé, alors qu'avec Signal ou WhatsApp, vous vous inscrivez vous-même. Cela entraîne de nombreux problèmes liés à l'usurpation d'identité, à la fraude d'identité et aux deepfakes. Tout système ouvert où les utilisateurs s'inscrivent eux-mêmes présente un risque très élevé.
Et puis, il y a un autre aspect qui entre en jeu : c'est une chose — et c'est important — de crypter fortement la conversation, que vous et moi parlions au téléphone ou par messages. Mais il y a aussi toutes les métadonnées associées : qui appelle qui, qui envoie des messages à qui et pendant combien de temps ?
Vous avez sûrement déjà vu des films policiers dans lesquels les enquêteurs commencent à dessiner des liens sur un tableau pour mettre en évidence toutes les connexions ? C'est exactement ce que sont les métadonnées. Conscients de leur valeur d'un point de vue du renseignement, nous cryptons également ces données et les plaçons dans un tunnel afin qu'elles ne soient visibles que par le client concerné. Ainsi, aucun adversaire ne peut capturer et récolter les métadonnées.
Animateur du podcast : Imaginons que je sois, par exemple, une grande entreprise. Je veux m'assurer que les communications entre mes cadres sont sécurisées. Comment pouvons-nous mettre cela en place ? Comment BlackBerry s'assure-t-il que mes données restent dans mon pays, et ne se trouvent pas sur un serveur quelque part en Amérique du Nord, ou ailleurs dans le monde, ou quelque chose comme ça ? Je veux dire, vous êtes canadien, donc nous vous apprécions et tout ça, mais comment pouvons-nous nous en assurer ?
Ma réponse: Nous proposons deux approches, commençons par la première. En règle générale, s'il s'agit d'une organisation commerciale, nous fournissons un logiciel en tant que service (Saas), un système basé sur le cloud. L'un des aspects essentiels concernant les données est que nous ne stockons pas les données des clients dans notre système. Elles y sont conservées de manière temporaire, le temps que le message soit transmis, puis elles sont supprimées.
Au niveau gouvernemental, et pour certaines organisations telles que celles qui gèrent des infrastructures critiques, certaines organisations hautement réglementées, nous leur offrons la possibilité de déployer le système back-end dans leur propre cloud et leur propre centre de données, de sorte qu'il n'y ait aucune connectivité à un réseau BlackBerry, à un stockage ou à quoi que ce soit d'autre dans ce sens. Nous discutons avec chaque client pour connaître son niveau de risque et ses exigences réglementaires, puis, sur cette base, nous l'aidons à choisir la méthode de déploiement la plus adaptée.
[Lire l'étude de cas : Comment Conflict International utilise BlackBerry SecuSUITE ses opérations mondiales]
La deuxième approche que nous adoptons consiste à nous concentrer sur les personnes qui utilisent réellement le système. Si elles écrivent un message ou envoient un document, elles sont alors propriétaires et contrôlent ce document. Elles contrôlent son cycle de vie, de sorte que même un an plus tard, elles peuvent récupérer ce document ou cette photo.
Et c'est un modèle fondamentalement différent de celui que vous obtenez avec un système grand public comme Signal ou WhatsApp. Le modèle des applications grand public est le suivant : vous pouvez modifier ou changer quelque chose temporairement pendant quelques minutes ou quelques heures, mais une fois que vous avez donné des données à quelqu'un, ces données lui appartiennent. Notre modèleBlackBerry SecuSUITEest différent. Ce qui est envoyé, ce sont les données de l'entreprise ou du gouvernement, et la personne qui prend la décision de les envoyer peut les contrôler et les récupérer.
Comment en savoir plus sur BlackBerry SecuSUITE
Depuis près de 40 ans, des organisations du monde entier font confiance à BlackBerry pour assurer la sécurité et l'efficacité de leurs communications. Aujourd'hui, nous ne fabriquons plus d'appareils, mais nous pouvons tous les sécuriser grâce à nos logiciels et outils de communication sécurisés intégrés à BlackBerry SecuSUITE. Avec BlackBerry, il est possible de bénéficier d'une messagerie et d'appels vocaux hautement sécurisés pouriOS® et Android™, 24 heures sur 24 et partout dans le monde.
Rejoignez les organisations les plus importantes et les plus sécurisées au monde qui utilisent BlackBerry SecuSUITE se défendre contre les attaques d'espionnage et d'interception. Contactez-nous pour en discuter ou pour en savoir plus ici.
WhatsApp et Signal sont-ils suffisamment sécurisés pour les communications confidentielles ou secrètes ?
17 octobre 2024
·Blog
·David Wiseman
Les outils de communication cryptés destinés aux consommateurs, tels que WhatsApp et Signal, sont-ils suffisamment sécurisés pour les données confidentielles de votre organisation ? Qu'en est-il des communications secrètes de l'armée ou du gouvernement ? On me pose régulièrement ces questions. La réponse est que cela dépend à la fois de vos besoins et de vos attentes.
Dans le cadre de mes fonctions, je travaille avec les forces armées, les sept gouvernements du G7, huit des dix plus grandes banques et la moitié des entreprises du classement Fortune 100. Ces organisations ont un point commun : elles ont compris que limiter l'espionnage et la perte de données sensibles due à l'interception des communications est un élément clé d'une cyberdéfense holistique. C'est pourquoi nous menons des discussions constantes au sujet de BlackBerry®SecuSUITE®, notre plateforme de communication sécurisée.
La différence entre les applications de chiffrement grand public et BlackBerry
Quelle est la différence entre les applications grand public et un produit tel que SecuSUITE? J'ai récemment participé au podcast Land Forces 2024, où l'animateur Grant McHerron m'a posé cette question. Poursuivez votre lecture pour découvrir un extrait de notre dialogue ou écoutez l'intégralité de l'interview.
Animateur du podcast : Maintenant, parlons d'un sujet que nous connaissons tous : les communications sécurisées. WhatsApp — ou personnellement, je préfère utiliser Signal. C'est juste mon avis. Mais tu as dit quelque chose l'autre jour, lorsque nous discutions, à propos de ces applications... qu'elles ne sont pas aussi sécurisées que nous le pensons.
Ma réponse : Eh bien, quand on regarde Signal et WhatsApp, on constate qu'ils utilisent tous deux le même système de cryptographie. Et ce système de cryptographie n'a rien de répréhensible ! Cependant, la cryptographie ne représente qu'une petite partie des défis à relever en matière de sécurité des communications.
De plus, lorsqu'il s'agit des communications les plus sensibles pour les militaires, les cadres supérieurs, les affaires étrangères et certaines branches du gouvernement, ceux-ci ont besoin d'un système qu'ils peuvent contrôler.
Le contrôle revêt plusieurs significations. D'une part, il implique de comprendre où se trouvent les données, et de savoir que l'on contrôle l'architecture informatique ou l'environnement de ce système. Mais surtout, il implique de contrôler les utilisateurs.
Dans ce cas, par « contrôle », j'entends également qu'ils autorisent spécifiquement certaines personnes à faire partie de ce réseau de communication sécurisé, alors qu'avec Signal ou WhatsApp, vous vous inscrivez vous-même. Cela entraîne de nombreux problèmes liés à l'usurpation d'identité, à la fraude d'identité et aux deepfakes. Tout système ouvert où les utilisateurs s'inscrivent eux-mêmes présente un risque très élevé.
Et puis, il y a un autre aspect qui entre en jeu : c'est une chose — et c'est important — de crypter fortement la conversation, que vous et moi parlions au téléphone ou par messages. Mais il y a aussi toutes les métadonnées associées : qui appelle qui, qui envoie des messages à qui et pendant combien de temps ?
Vous avez sûrement déjà vu des films policiers dans lesquels les enquêteurs commencent à dessiner des liens sur un tableau pour mettre en évidence toutes les connexions ? C'est exactement ce que sont les métadonnées. Conscients de leur valeur d'un point de vue du renseignement, nous cryptons également ces données et les plaçons dans un tunnel afin qu'elles ne soient visibles que par le client concerné. Ainsi, aucun adversaire ne peut capturer et récolter les métadonnées.
Animateur du podcast : Imaginons que je sois, par exemple, une grande entreprise. Je veux m'assurer que les communications entre mes cadres sont sécurisées. Comment pouvons-nous mettre cela en place ? Comment BlackBerry s'assure-t-il que mes données restent dans mon pays, et ne se trouvent pas sur un serveur quelque part en Amérique du Nord, ou ailleurs dans le monde, ou quelque chose comme ça ? Je veux dire, vous êtes canadien, donc nous vous apprécions et tout ça, mais comment pouvons-nous nous en assurer ?
Ma réponse: Nous proposons deux approches, commençons par la première. En règle générale, s'il s'agit d'une organisation commerciale, nous fournissons un logiciel en tant que service (Saas), un système basé sur le cloud. L'un des aspects essentiels concernant les données est que nous ne stockons pas les données des clients dans notre système. Elles y sont conservées de manière temporaire, le temps que le message soit transmis, puis elles sont supprimées.
Au niveau gouvernemental, et pour certaines organisations telles que celles qui gèrent des infrastructures critiques, certaines organisations hautement réglementées, nous leur offrons la possibilité de déployer le système back-end dans leur propre cloud et leur propre centre de données, de sorte qu'il n'y ait aucune connectivité à un réseau BlackBerry, à un stockage ou à quoi que ce soit d'autre dans ce sens. Nous discutons avec chaque client pour connaître son niveau de risque et ses exigences réglementaires, puis, sur cette base, nous l'aidons à choisir la méthode de déploiement la plus adaptée.
[Lire l'étude de cas : Comment Conflict International utilise BlackBerry SecuSUITE ses opérations mondiales]
La deuxième approche que nous adoptons consiste à nous concentrer sur les personnes qui utilisent réellement le système. Si elles écrivent un message ou envoient un document, elles sont alors propriétaires et contrôlent ce document. Elles contrôlent son cycle de vie, de sorte que même un an plus tard, elles peuvent récupérer ce document ou cette photo.
Et c'est un modèle fondamentalement différent de celui que vous obtenez avec un système grand public comme Signal ou WhatsApp. Le modèle des applications grand public est le suivant : vous pouvez modifier ou changer quelque chose temporairement pendant quelques minutes ou quelques heures, mais une fois que vous avez donné des données à quelqu'un, ces données lui appartiennent. Notre modèleBlackBerry SecuSUITEest différent. Ce qui est envoyé, ce sont les données de l'entreprise ou du gouvernement, et la personne qui prend la décision de les envoyer peut les contrôler et les récupérer.
Comment en savoir plus sur BlackBerry SecuSUITE
Depuis près de 40 ans, des organisations du monde entier font confiance à BlackBerry pour assurer la sécurité et l'efficacité de leurs communications. Aujourd'hui, nous ne fabriquons plus d'appareils, mais nous pouvons tous les sécuriser grâce à nos logiciels et outils de communication sécurisés intégrés à BlackBerry SecuSUITE. Avec BlackBerry, il est possible de bénéficier d'une messagerie et d'appels vocaux hautement sécurisés pouriOS® et Android™, 24 heures sur 24 et partout dans le monde.
Rejoignez les organisations les plus importantes et les plus sécurisées au monde qui utilisent BlackBerry SecuSUITE se défendre contre les attaques d'espionnage et d'interception. Contactez-nous pour en discuter ou pour en savoir plus ici.