Oui, les iMessage sont un moyen de communication sécurisé, mais uniquement si les sauvegardes iCloud sont désactivées.

Les iMessage, c’est-à-dire les messages qui sont échangés entre des appareils Apple (iPhone, iPad, Mac, etc.) et qui sont affichés en bleu dans la conversation, utilisent un chiffrement de bout-en-bout1, ce qui signifie que seuls les interlocuteurs ont la capacité de lire le contenu des messages, car ce sont les seuls à posséder les clés cryptographiques utilisées pour déchiffrer le contenu des messages.

En synchronisant les messages avec un compte iCloud, la clé secrète permettant de déchiffrer le contenu des messages est partagée avec les serveurs d’Apple2. Cela a l’avantage de pouvoir sauvegarder les messages et de les récupérer en cas de perte ou de vol de l’appareil, mais cela a aussi l’inconvénient de donner la possibilité à Apple, ou aux organismes d’État américain, pays où la société Apple est domiciliée, de lire et d’enregistrer les messages.

Si vous souhaitez communiquer en toute confidentialité, vous devez donc désactiver les sauvegardes iCloud dans les paramètres de votre appareil et demander à votre interlocuteur d’en faire autant :

WhatsApp avec l’option « Sauvegarde iCloud » désactivée
Les messages WhatsApp sauvegardés vers iCloud ne sont pas chiffrées de bout-en-bout

Cela a pour conséquence de ne plus sauvegarder vos iMessage, mais aussi, malheureusement, de ne plus sauvegarder les autres données comme les photos, les contacts ou les paramètres du compte.

Il n’est pas possible de synchroniser toutes les données sauf les iMessage, car la clé permettant de déchiffrer vos données n’est pas spécifique aux iMessage, mais est globale à l’ensemble des données. Vous pouvez cependant utiliser une application de messagerie différente, ce qui permet de continuer de synchroniser les données de l’appareil, sans y inclure les messages.

L’application Signal est, par exemple, un bon choix, car elle utilise également un chiffrement de bout-en-boutet est disponible aussi bien sur iOS (Apple) que sur Android.

Il est aussi important de noter que plusieurs failles de sécurité ont été découvertes dans iMessage par CitizenLab, un laboratoire de recherches de l’Université de Toronto (Canada) : une première, en décembre 2020, intitulée KISMET3, et une deuxième, en août 2021, intitulée FORCEDENTRY4. Elles ont été activement utilisées, notamment par NSO Group, une entreprise israélienne spécialisée dans l’édition de logiciels de surveillance ciblée, dont les outils5 ont été utilisés par certains pays pour espionner des personnalités politiques, dont le président français Emmannuel Macron6, des journalistes et des activistes.

Le laboratoire auteur des découvertes indique que les utilisateurs d’iOS auraient pu être protégés en désactivant iMessage7 et FaceTime8.

« Nous pensons que les attaques […] auraient pu être évitées en désactivant iMessage et FaceTime. »

Même si ces failles sont maintenant corrigées dans les appareils Apple les plus récents, il est probablement préférable de ne plus utiliser ni iMessage ni FaceTime et d’utiliser des outils alternatifs, comme Signal, qui ont probablement une surface d’attaque moins importante que les iMessage.

Indicateur iMessage désactivé
Désactiver les iMessage dans les paramètres de l’iPhone

Notes et références

  1. Apple, éditeur des iMessage, indique publiquement utiliser un chiffrement de bout-en-bout, mais le code source de leur système n’est pas public. Il est donc nécessaire de les croire sur parole, même si nous n’avons pas raison d’en douter à ce jour.
  2. Les sauvegardes iCloud ne sont pas chiffrées de bout-en-bout (source : apple.com). Les iMessage inclus dans les sauvegardes iCloud ne sont pas non plus chiffrés de bout-en-bout (source : apple.com).
  3. Le laboratoire CitizenLab a découvert une faille, intitulée KISMET, dans les iMessage d’Apple en décembre 2020 (source : citizenlab.ca).
  4. Le laboratoire CitizenLab a découvert une faille, intitulée FORCEDENTRY (CVE-2021-30860), dans les iMessage d’Apple en août 2021 (source : citizenlab.ca). Cette faille a été sécurisée par Apple dans iOS/iPadOS 14.8 (source : apple.com).
  5. L’outil Pegasus a notamment été élaboré par NSO Group.
  6. Le président français Emmanuel Macron a été victime du logiciel Pegasus, édité par NSO Group (source : amnesty.org).
  7. Les iMessage peuvent être désactivés dans les paramètres en se rendant dans Réglages, Messages et en décochant l’option iMessage.
  8. FaceTime peut être désactivé dans les paramètres en se rendant dans Réglages, FaceTime et en décochant l’option FaceTime.