Quantcast

L’État cherche à déployer sa propre application de messagerie sécurisée

16 avr. 2018, PAR Emile Marzolf
  • 04
    MIN
  • 0

© Pexels

Le secrétaire d’État au Numérique, Mounir Mahjoubi, a annoncé le 13 avril au micro de France Inter que l’État allait lancer sa propre application de messagerie sécurisée en interne, laquelle “ne sera pas dépendante d’offres privées”.


“Il faut qu’on puisse, sur nos téléphones professionnels, partager de l'information plus rapidement que par mail.” La décision de concevoir une application de communication sécurisée et interne à l’État est née du constat, dressé pas les équipes du cabinet du secrétaire d’État au Numérique, Mounir Mahjoubi, mais aussi par diverses administrations, du manque cruel de fluidité du partage de l’information entre les agents de l’État.

Dans les faits, l’application, dont l’élaboration a été confiée à la direction interministérielle du système d’information et de communication de l’État (Dinsic) au début de l’année 2018, permet à tout un chacun de faire la même chose que ce que proposent des applications grand public comme WhatsApp ou Telegram : messages instantanés, partage de documents photos ou vidéos, conversation de groupe etc. À la différence près qu’elle peut “s’installer sur nos téléphones professionnels et sécurisés”, dit-on au cabinet de Mounir Mahjoubi. Car auparavant, la solution de protection installée sur les téléphones professionnels des agents et équipes ministérielles empêchait tout simplement d’installer ce type de solutions grand public.

Phase de test

Le cabinet a donc demandé à la Dinsic “de proposer une solution utilisable en interne au sein des cabinets ministériels, des administrations et même des collectivités territoriales et dont le code final serait détenu directement par l’administration”. Pour ce faire, la Dinsic n’est pas partie d’une feuille blanche, mais s’est basée sur un code source en libre accès qu’elle a adapté pour y ajouter des fonctionnalités qui apparaissent utiles ainsi que des modifications de sécurité. Le tout sous l’œil expert de l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui a logiquement été impliquée dans ce projet, depuis le développement jusqu’à la phase de test.

Pour le moment, l’application est expérimentée, en version alpha, par une vingtaine d’agents du cabinet du secrétariat d'État du Numérique et de la Dinsic avec, en ligne de mire, un déploiement dans toutes les administrations et cabinets ministériels “avant l’été”. Du reste, on cherche à éviter la surcharge des serveurs en déployant progressivement, selon “les besoins et demandes”, notamment des collectivités territoriales.

Des échanges davantage sécurisés

Le chiffrement des applications de messagerie permet de les sécuriser contre d’éventuelles interceptions par des tiers. “Une application de messagerie chiffrée rend plus difficile l’interception des messages par celui qui contrôle le réseau, Internet ou wifi, et même les serveurs sur lesquels sont échangés les messages. Il ne peut ni accéder au contenu des messages ni modifier la session”, explique Nadim Kobeissi, doctorant rattaché à l’équipe Prosecco (Programmation sécurisée avec cryptographie) de l’Institut national de recherche en informatique et en automatique (Inria).

Selon ce jeune chercheur, créateur de la solution de discussion en ligne CryptoCat, l’intérêt pour l'État de recourir à son propre outil réside essentiellement dans la capacité de “contrôle sur la livraison des mises à jour” que cela lui confère. En conservant la main sur la “distribution de l’application, sa maintenance et sa mise à jour”, il serait en mesure d’éviter toute “faille ou mécanisme d’interception” qui pourraient s’immiscer dans une mise à jour en cas de compromission des développeurs de l'application. Dans ce domaine, plusieurs applications comme Telegram, Signal ou Riot tentent en effet de creuser leur sillon.

Mais l’expert en sécurité informatique, qui étudie de près le fonctionnement de Signal depuis deux ans, assure que le choix de fonder la solution de l’État sur son code source aurait été la meilleure décision à prendre, car en plus d’être open source, Signal a “le meilleur protocole de messagerie sécurisée qui existe aujourd’hui”. À l’inverse de Telegram qui, bien qu’elle défraie régulièrement la chronique, n’offre d’après lui pas de “garanties suffisantes contre le vol du téléphone ou l’interception des messages”, y compris lorsque le mode “chiffrement de bout en bout” est activé. 

Jointe par nos soins, la Dinsic a précisé que l'application reposait sur le standard d'intéropérabiltié ouvert Matrix et sur le produit open source Riot, afin de convenir aux “exigences de l'administration”. Riot se présente en effet comme une solution décentralisée qui permettrait, comme le font désormais nos boîtes mails, de communiquer d'un service à un autre, et donc de casser avec l'enfermement applicatif que nous imposent les applications de messagerie actuelles. Avec Matrix, des ponts peuvent ainsi être érigés avec d'autres applications, comme Slack ou Twitter. Ce choix surprend néanmoins Nadim Kobeissi, qui souligne que Riot est “relativement peu étudié” et qu'il est difficile de “tirer des conclusions” en matière de sécurité.

Ces mises en garde sur la sécurité et l’intégrité présentes ou futures de certains outils de communication résonnent d’autant plus fort qu’une décision de justice a ordonné, vendredi 13 avril, le blocage de Telegram en Russie, faute de coopération avec les services de renseignement russes. Comme le révélait L’Obs à la fin du mois de mars, l’application est par ailleurs largement utilisée par la classe politique française, chez les parlementaires comme dans l’entourage d’Emmanuel Macron.