Il y a exactement dix ans, le 12/12/2012, la toute première version de Threema était publiée sur l’App Store d’Apple. Threema est une des premières applications de messagerie sécurisée chiffrée ayant fait le pari un peu fou d’être payante.

Hier Threema fêtait ses 10 ans jour pour jour.

Qu’est-ce que Threema ?

Conçue en Suisse et présentée comme une des meilleures alternatives à Whatsapp, Threema est une application de messagerie chiffrée Open Source compatible sur Windows, macOS, iOS, Android et Linux. Peu utilisée en France en raison de son modèle économique payant, cette messagerie sécurisée instantanée est très utilisée en Allemagne, en Suisse et en Autriche. Threema propose l’ensemble des services d’une application nouvelle génération, texte, image et vidéo.

Chiffrant de bout en bout (E2EE) tous les flux de données, les liaisons s’effectuent en direct sans passer par des serveurs.

Par souci de transparence, Threema est régulièrement auditée et a ouvert complètement son code en décembre 2020. Une version dédiée aux professionnels est également disponible Threema Work.

L’importance de la protection des données

Lorsque la première version de Threema a été développée il y a plus de dix ans, elle répondait au besoin urgent de sécuriser les communications par chat. À l’époque, les premières applications de messagerie mobile comme WhatsApp commençaient à remplacer les SMS comme norme de communication mobile.

Cependant, les services disponibles présentaient de grandes lacunes en termes de sécurité. Par exemple, il était possible de lire les messages transmis dans un réseau Wi-Fi public avec peu d’expertise technique.

Depuis lors, de nombreuses messageries utilisent aujourd’hui le chiffrement de bout en bout. Cependant, la menace ne provient plus seulement de tiers malveillants mais aussi directement des services de chat eux-mêmes. Étant donné que les données des utilisateurs sont devenues un bien commercial de valeur et que les applications de chat sont très répandues, les entreprises sont désireuses de collecter les données des utilisateurs par le biais des applications afin de les fusionner avec des ensembles de données provenant d’autres sources, créant ainsi des profils d’utilisateurs détaillés, qui sont très précieux lorsqu’il s’agit de vendre des publicités ciblées.

Threema à 10 ans : une belle longévité pour une application de messagerie payante

À l’échelle de l’Internet, dix ans représentent une éternité. Le secteur des applications de messagerie bouge très vite. 10 ans d’existance, c’est un indicateur de durabilité.

Threema n’est pas restée la même au cours de la dernière décennie. Elle est passée du statut de petite start-up à celui d’une entreprise bien établie qui propose une large gamme de solutions de communication sécurisées. Threema a su convaincre plus de onze millions d’utilisateurs avec son application de messagerie et bénéficie de la confiance d’organisations et d’entreprises renommées telles que Daimler, TK Elevator et l’armée suisse.

Retrouvez la listes des entreprises qui utilisent Threema ici.

L’évolution de Threema s’est accompagnée d’une évolution du cadre technologique environnant. En effet, les exigences fonctionnelles imposées aux messageries instantanées ont considérablement augmenté au cours des deux dernières années. Le secteur des VPN et plus particulièrement les protocoles de chiffrement ont beaucoup contribué à cette évolution.

Pour suivre les avancées technologiques, Threema a introduit une suite de protocoles révisée et étendue, incluant Ibex, un nouveau protocole de communication cryptographique qui renforce encore la sécurité.

Pour conclure

Dix ans après sa création, Threema est toujours la seule messagerie instantanée qui repose sur un modèle économique transparent et durable où les utilisateurs paient pour le service. L’évitement strict du stockage des données et la possibilité d’une utilisation anonyme sont devenus plus importants que jamais. En effet, là où il n’y a pas de données, il n’y a pas d’utilisation de celles-ci.

Bon anniversaire Threema !

Une attaque POODLE intercepte les communications entre les navigateurs et les serveurs web. En cas de succès, elle peut exposer les informations privées des utilisateurs, comme les mots de passe et les numéros de carte de paiement. Qu’est-ce qu’une attaque POODLE ? Découvrir et comprendre

Comprendre l’attaque POODLE

POODLE (Padding Oracle on Downgraded Legacy Encryption) tente d’inverser le chiffrement effectué sur les données des utilisateurs. Ce décryptage des communications normalement sécurisées est possible grâce à plusieurs vulnérabilités.

Pour capturer ces informations, les attaquants forcent les navigateurs à utiliser le protocole SSL 3.0 au lieu d’autres protocoles plus sûrs comme TLS. On parle alors de vulnérabilité logicielle. Mis en lumière pour la première fois en 2014 par 3 chercheurs de l’équipe de sécurité de Google, de nombreux correctifs ont été lancés pour pallier à ce problème avec un succès plus que mitigé.

En forçant le déclassement, l’attaquant contraint les communications à utiliser un cryptage par blocs en mode CBC (Cipher Block Chaining, chaine de bloc de chiffrement) défectueux. Celui-ci présente une vulnérabilité de sécurité, qui est susceptible de faire l’objet d’un POODLE. Ainsi, les systèmes supportant SSL 3.0 associé à une suite de chiffrement utilisant les modes CBC peuvent en être victimes.

Au fil des années, des attaques par rétrogradation de protocole similaires ont fait surface, comme l’attaque SSL stripping. Il y a fort à parier que de nouvelles feront surface.

Comment fonctionne l’attaque POODLE ?

Le principal problème vient des systèmes existants qui restent rétrocompatibles avec des protocoles plus anciens comme SSL 3.0. En effet, les systèmes peuvent revenir à SSL pour résoudre des problèmes de performance ou de fonctionnalité.

Un tel retour en arrière au nom d’une expérience plus fluide crée malheureusement plus de problème qu’il n’en résout. Les acteurs malveillants du net abusent de cette possible régression et exploite tous les bugs de cryptage SSL.

Voici un bref aperçu du fonctionnement d’une attaque POODLE :

• Le client et le serveur négocient la connexion. Tous deux doivent prendre en charge le protocole choisi. Par défaut, la communication se fera toujours sur la version la plus récente du protocole. Si cela échoue, la même négociation commence avec un protocole plus ancien.
• Si les attaquants parviennent à prendre le contrôle de la connexion, ils peuvent imposer la connexion SSL. De telles intrusions sont plus faciles sur les réseaux Wifi gratuits dans les lieux publics.
• Lorsque les clients et les serveurs interagissent avec le protocole SSL 3.0, leurs communications ne sont plus sûres. Sa principale vulnérabilité est qu’en envoyant des données sur de nombreuses connexions, chaque transmission laisse échapper des informations. Sa vulnérabilité vient du fait qu’il ne vérifie pas entièrement l’intégrité du remplissage avant le décryptage.
• Les auteurs d’infractions doivent donc mettre en œuvre des attaques MitM (man in the middle, un tiers qui se place entre votre navigateur et les serveurs Internet) et exécuter des scripts malveillants pour déclencher le déclassement de votre connexion. Une fois que la connexion passe en charge SSL 3.0, l’attaque POODLE peut se produire. Elle exploite les vulnérabilités de chiffrement et de vérification pour capturer les données dans leur forme originale.

L’attaque POODLE est dangereuse mais pas si simple à mettre en œuvre

Ce type d’attaque n’est pas à la portée de n’importe quel script kiddie qui aurait déniché quelques scripts malveillant sur le Dark Web. Il faut un minimum de connaissances et plusieurs actions assez techniques sont nécessaires pour réussir ce type d’attaque.

Une attaque POODLE vise à forcer un site web à abandonner une connexion sécurisée via TLS. Toutefois, avant que l’attaque n’exploite les failles de SSL 3.0, les auteurs doivent réunir les conditions favorables.

Le meilleur environnement pour une attaque POODLE est un réseau public non-sécurisé. On en trouve partout comme les aéroports, les parcs ou les centres commerciaux.

Quelles informations une attaque POODLE peut-elle obtenir ?

Prévenir les attaques POODLE et similaires

Votre connexion à Internet, aux sites web, aux applications et aux autres services en ligne ne peut jamais être sécurisée à 100 %.

Sécurisez-vous même votre présence numérique est important.

Certaines habitudes, certains paramètres et certaines décisions vous rendent plus vulnérables. Voici quelques conseils pour protéger vos activités sur Internet, les données que vous soumettez et votre expérience globale.

• Évitez de vous connecter à des réseaux inconnus. Les hotspots dans les lieux publics peuvent rendre les utilisateurs vulnérables à l’interception du trafic. Ils peuvent donc ouvrir la voie à des attaques de type MitM, SSL stripping et POODLE.
• Ne faites pas confiance aux sites Web HTTP (en aucun cas). Si des sites utilisent le protocole HTTP, ne révélez jamais vos identifiants de connexion ou d’autres informations personnelles par leur intermédiaire.
• Maintenez votre système d’exploitation, votre navigateur et vos autres logiciels à jour. Utilisez des solutions nouvelles générations et installez les mises à jour pour lutter contre les bugs et les vulnérabilités. De nombreuses menaces numériques fonctionnent parce que les gens continuent à utiliser des versions obsolètes.
• Utilisez un VPN. Un réseau privé virtuel sécurise votre connexion à n’importe quel réseau. Ainsi, si vous activez un VPN et que vous vous connectez à un Wi-Fi public, votre trafic ne peut pas être lu par des tiers Même si les sites ou les réseaux n’utilisent pas un chiffrement approprié, un RPV le fera.

📌 Mise à jour – mars 2025

Depuis cette cyberattaque ayant compromis les données personnelles de plus de 515 000 personnes vulnérables, le Comité international de la Croix-Rouge (CICR) a pris des mesures significatives pour renforcer la sécurité de ses systèmes :​

• Renforcement des mesures de sécurité : Le CICR a amélioré ses protocoles de cybersécurité pour prévenir de futures intrusions. ​
• Reprise des services : Les systèmes affectés ont été remis en ligne avec des dispositifs de sécurité renforcés, permettant la poursuite des programmes essentiels tels que le rétablissement des liens familiaux. ​
• Sensibilisation accrue : L’incident a mis en lumière la nécessité d’une vigilance accrue face aux cybermenaces, en particulier pour les organisations humanitaires traitant des données sensibles. ​

La première attaque notable de 2022

L’année 2022 commence par une violation de données qui a affecté les données de la Croix-Rouge sur les profils de personnes très vulnérables. En extrayant des serveurs les données de plus de 60 sociétés du mouvement mondial de la Croix-Rouge, les tiers maveillants ont eu accès aux données sensibles de 515 000 personnes.

Il est intéressant de noter que cette attaque n’est pas été classée comme ransomware, car les attaquants n’ont pas demandé d’argent. Cela suggère que toutes les données ont été conservées.
Une attaque de cette ampleur contre une organisation à but non lucratif hautement sophistiquée et précisément ciblée pour acquérir des données sur les réfugiés de guerre et les personnes déplacées en raison de migrations, de catastrophes ou d’autres événements catastrophiques est une grande prémière.

En raison de la violation de données identifiée dans les 70 jours qui ont suivi l’intervention des pirates sur le réseau, les systèmes de la Croix-Rouge ont été mis hors service, ce qui a perturbé l’activité organisationnelle en mettant hors service le système touché. Le rôle de celui-ci est d’aider à localiser et à rétablir de manière confidentielle les liens familiaux des personnes vulnérables.

Cyberattaque contre la croix rouge : Comment c’est arrivé ?

L’affaire est classée comme une violation de données due à la vulnérabilité d’un tiers. La Croix-Rouge loue des serveurs à une société suisse anonyme pour stocker les données de l’organisation.

Selon la Croix-Rouge, les informations étaient sécurisées par les systèmes de défense du fournisseur qui se sont avérés adéquats contre l’obtention de données lors de précédentes tentatives de violation. Des mises à jour anti-malware programmées étaient en rotation pour assurer le processus de correction.

Cependant, après des tentatives répétées, les acteurs malveillants ont identifié une vulnérabilité, une faille de sécurité due à un correctif tardif sur l’un des modules d’authentification. Les criminels ont placé des shells web (script malveillant) qui permettaient de compromettre les informations d’identification de l’administrateur, d’accéder aux registres et de déployer des outils de sécurité offensifs.

En se déguisant dans les systèmes en utilisateurs et administrateurs légitimes du réseau, les cybercriminels ont eu le temps d’exploiter les données malgré leur chiffrement.

Le serveur compromis a été mis hors ligne une fois que la partie non autorisée a été détectée au cours d’une procédure de sécurité de routine. Cette attaque très sophistiquée était une tentative de collecte de données soigneusement élaborée, les informations ayant été copiées mais pas supprimées, modifiées, publiées ou échangées contre de l’argent.

Comment atténuer le risque ?

Une sécurité solide est obligatoire pour faire face à des acteurs malveillants persistants. L’affaire de la Croix-Rouge montre qu’1 seul faux pas peut entraîner une violation de données, même si des pratiques de sécurité étaient en place. Ainsi, lors de la sélection d’un fournisseur, assurez-vous que le fournisseur de VPN cloud entreprise respecte les exigences en matière de conformité et de sécurité des données.