La CISA prévient que le SMS classique n’est plus sûr

La CISA met en garde contre les messages non cryptés en raison de l’augmentation des cybermenaces

Les messages non cryptés ne sont plus seulement dépassés, ils sont dangereux. L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a lancé un avertissement clair : si vous envoyez des messages par l’intermédiaire de systèmes de texte standard, vous vous exposez ou vous exposez votre organisation à un risque réel. Les cyberattaquants, en particulier ceux qui sont alignés sur des États-nations, sont de plus en plus intelligents. Ils utilisent des logiciels espions avancés et des techniques d’ingénierie sociale ciblées pour s’introduire dans les appareils mobiles, avec dans leur ligne de mire des personnes de grande valeur telles que des chefs d’entreprise, des fonctionnaires et du personnel militaire.

Ces acteurs de la menace exploitent les applications de messagerie privée et les communications non chiffrées pour accéder à des données internes, à des plans opérationnels et à des renseignements potentiellement classifiés. Le message de la CISA est clair : si vous occupez un poste de direction et que vous communiquez par des canaux qui ne sont pas chiffrés de bout en bout, vous offrez à des adversaires potentiels une voie d’accès directe à vos systèmes.

Les chefs d’entreprise et les décideurs doivent prendre cette question au sérieux. La sécurité des communications doit être traitée de la même manière que la sécurité physique ou l’intégrité du réseau, elle est fondamentale. Passez en revue les outils que vous et votre équipe utilisez quotidiennement. Évitez les services de messagerie qui s’appuient sur les SMS ou la messagerie par défaut sans chiffrement vérifié. Cryptez par défaut ou prenez le risque d’être exposé dès la conception. Le paysage des menaces a changé, et la stratégie doit en faire autant.

RCS ne prend pas en charge le chiffrement complet sur iOS et Android

Rich Communication Services, ou RCS, est le protocole de messagerie développé par Google et adopté par la plupart des appareils Android. Il se présente comme une alternative moderne aux SMS. Il offre des améliorations telles qu’un meilleur partage des médias et des accusés de réception, mais voici la réalité : RCS, dans sa forme actuelle sur les configurations iOS et Android, n’offre pas un chiffrement de bout en bout fiable sur toutes les plateformes. C’est un problème.

Google a commencé à tester le chat RCS crypté, mais le déploiement complet n’a pas encore eu lieu. Apple s’est engagé à prendre en charge la messagerie RCS cryptée pour iOS, et a déclaré que cette fonctionnalité sécurisée serait disponible dans une prochaine mise à jour logicielle. Cela pourrait se produire dès iOS 26.2. Apple prend déjà en charge le chiffrement de bout en bout dans son application iMessage. Mais RCS est censé être universel. Tant que les deux plateformes n’auront pas mis en place une couverture E2EE complète sur tous les appareils, les utilisateurs ne seront pas en confiance.

Pour les cadres, voici ce que cela signifie : ne supposez pas que les messages multiplateformes sont sûrs simplement parce qu’ils ont l’air modernes. Si vous partagez des plans ou des données sensibles entre des équipes et que quelqu’un envoie un SMS à partir d’un Android sur RCS sans que le chiffrement soit entièrement activé, ces données pourraient être interceptées. La question n’est donc pas de savoir s’il faut chiffrer ou non, mais plutôt de savoir dans quel délai vous pouvez éliminer tous les chemins non E2EE de vos communications professionnelles. Utilisez des outils de messagerie qui garantissent un chiffrement de bout en bout, de manière cohérente et fiable. Attendre que le cryptage RCS complet soit déployé est une responsabilité en matière de sécurité, pas une politique.

Apple devrait introduire le cryptage RCS dans la prochaine mise à jour d’iOS

Apple s’apprête à apporter un chiffrement complet de bout en bout à la messagerie RCS, et pas seulement sur les iPhones. Selon la déclaration d’Apple, les messages RCS cryptés seront également pris en charge sur iPadOS, macOS et watchOS dans une prochaine mise à jour logicielle. Il s’agit là d’une volonté claire de s’aligner sur l’initiative plus large du secteur en faveur d’une messagerie sécurisée et interopérable dans le cadre du profil universel RCS, sous l’égide de la GSMA. Apple a confirmé son rôle dans cette initiative, indiquant qu’elle a contribué à diriger l’effort interprofessionnel pour rendre cette forme de cryptage possible.

À l’heure actuelle, tout le monde s’attend à ce que la version 26.2 d’iOS soit le point de départ de cette mise à jour. iMessage est chiffré depuis le début, mais une fois cette mise à jour effectuée, la communication standard entre Apple et Android pourrait enfin atteindre un niveau de sécurité acceptable pour une communication d’entreprise.

Ceci est important pour les cadres et les responsables informatiques qui gèrent des flottes d’appareils mixtes ou des écosystèmes BYOD. Sans chiffrement de bout en bout dans des protocoles tels que RCS, tout message quittant votre environnement réseau devient vulnérable. Lorsque la mise à jour sera lancée, prenez de l’avance sur l’adoption. Commencez à modifier les politiques de communication afin que les conversations de votre équipe héritent des normes de chiffrement, quel que soit l’appareil utilisé. Si Apple prend cette question au sérieux, vous devriez en faire autant, surtout si votre entreprise accorde de l’importance à sa propriété intellectuelle ou aux données de ses clients.

Il est recommandé d’utiliser des applications de messagerie cryptées telles que Signal et WhatsApp.

La recommandation de la CISA est directe : si vous voulez une messagerie sécurisée, utilisez Signal ou WhatsApp. Ces applications prennent déjà en charge le chiffrement de bout en bout par défaut, permettent aux utilisateurs de contrôler l’authentification de l’appareil et rendent difficile l’interception ou la manipulation des conversations par des pirates. C’est plus que ce que l’on peut dire des SMS traditionnels, ou même du RCS dans son état actuel de déploiement partiel.

Les organisations qui communiquent encore sur des canaux non cryptés se mettent une cible dans le dos. La direction doit imposer l’utilisation de plateformes cryptées approuvées à toutes les équipes, en particulier à celles qui traitent des données sensibles ou travaillent dans des secteurs à haut risque comme la finance, la défense ou les technologies émergentes.

Si vous utilisez un iPhone, une mesure à prendre consiste à désactiver l’option « Envoyer comme message texte » dans la section Messages des Réglages. Vous éviterez ainsi le retour aux SMS standard, ce qui permettra aux messages d’être envoyés par défaut à iMessage et de conserver leur couche chiffrée. WhatsApp et Signal fonctionnent indépendamment des plateformes mobiles, ce qui vous donne de la flexibilité, mais les utilisateurs ont besoin d’une formation et d’une politique claire pour s’assurer que ces applications sont utilisées correctement et de manière cohérente.

La messagerie cryptée n’est plus facultative à ce stade. C’est une question d’hygiène opérationnelle. Une mauvaise sécurité des communications favorise les violations de données silencieuses et les maux de tête liés à la réglementation. Réglez le problème rapidement, ou vous serez obligé de faire le ménage plus tard.

Recommandations spécifiques en matière de cybersécurité pour les utilisateurs d’iPhone

La CISA a publié une série de mesures de sécurité claires et réalisables destinées aux utilisateurs d’iPhone, en particulier à ceux qui occupent des postes sensibles au sein de l’administration, des entreprises et de la défense. Le raisonnement est simple : les iPhones sont largement utilisés par les dirigeants et les entreprises, il est donc essentiel de les sécuriser. Les attaquants le savent. Ils ciblent ces appareils en sachant qu’ils sont au cœur de la prise de décision opérationnelle.

Les recommandations comprennent l’activation du mode verrouillage, qui restreint certaines fonctions de l’appareil afin d’empêcher les exploits de haut niveau. iCloud Private Relay, la fonction de relais de confidentialité d’Apple, est également conseillée. Elle masque votre adresse IP et votre activité de navigation aux fournisseurs de services et aux intermédiaires malveillants potentiels. La CISA suggère également d’utiliser des services DNS cryptés de confiance tels que Cloudflare, Google ou Quad9. Ces services permettent d’éviter les attaques basées sur le DNS, telles que les redirections et les injections de contenu non autorisées.

En outre, les utilisateurs d’iPhone doivent surveiller les autorisations de leurs applications dans le menu « Réglages » > « Confidentialité et sécurité ». Si une application n’a pas besoin d’accéder à des fonctions telles que votre position, votre microphone ou vos contacts, révoquez-la. Trop de violations se produisent parce que des applications obtiennent des droits dont elles n’ont pas besoin, et les pirates savent comment exploiter cette situation.

Si vous occupez un poste de direction, il ne s’agit pas de paramètres périphériques. Il s’agit de configurations de sécurité fondamentales. Appliquez-les à l’échelle de vos équipes exécutives et opérationnelles. Confirmez la conformité. Élaborez des processus qui garantissent l’application des règles, même lorsque les appareils et les autorisations changent. La sécurité commence au niveau de l’appareil, et Apple met désormais ces outils à votre disposition. Utilisez-les.

Les utilisateurs d’Android sont invités à donner la priorité à la sécurisation des appareils et des paramètres

Android présente un écosystème plus large, un plus grand nombre de fabricants d’appareils avec des cycles de correctifs et des postures de sécurité différents. Cela crée une variabilité que les chefs d’entreprise ne peuvent se permettre de négliger. La CISA conseille aux utilisateurs d’Android d’être très sélectifs dans le choix de leurs appareils. Privilégiez les fabricants dont la réputation n’est plus à faire en matière de correctifs de sécurité et d’assistance à long terme pour les mises à jour. Les appareils Samsung et Google Pixel sont généralement les meilleurs dans ce domaine.

Outre le matériel, les utilisateurs d’Android ne devraient utiliser RCS que si le cryptage de bout en bout est entièrement activé. Sachez que si le chiffrement n’est pas clairement indiqué et actif, les messages envoyés par RCS peuvent toujours être interceptés. Pour la navigation et la communication, il convient d’activer le chiffrement des DNS via les paramètres DNS privés. Dans Chrome, utilisez les paramètres de confidentialité les plus élevés. Il en va de même pour les applications. Activez Google Play Protect pour rechercher les logiciels malveillants et signaler les applications suspectes.

Il ne s’agit pas de couches de défense facultatives. Elles constituent une barrière minimale contre les attaques ciblées. Si votre entreprise utilise Android à grande échelle ou autorise les politiques BYOD, commencez à inclure les audits de configuration de sécurité dans les pratiques informatiques standard. Appliquez les protections au niveau de l’appareil et ne permettez pas aux configurations par défaut de persister sans validation.

Les cadres qui utilisent Android doivent s’assurer que les appareils qu’ils transportent et qu’ils autorisent les autres à transporter répondent aux mêmes normes de protection élevées que celles attendues au niveau de l’organisation. Les divergences de sécurité entre iOS et Android ne doivent pas être un handicap, mais leur gestion nécessite une exécution délibérée.

Conseils pour une utilisation sécurisée des plates-formes de messagerie cryptées

L’utilisation d’applications de messagerie chiffrée telles que Signal et WhatsApp est un pas dans la bonne direction, mais une utilisation incorrecte laisse encore des lacunes. La CISA décrit les meilleures pratiques qui vont au-delà du simple téléchargement de la bonne application. Il s’agit de savoir comment la plateforme est utilisée, par qui et dans quelles conditions. Les acteurs de la cybermenace ne se contentent pas d’exploiter les failles des plateformes, ils ciblent également le comportement des utilisateurs.

Les conseils sont précis. Ne scannez pas les codes QR et n’acceptez pas d’invitations de groupe provenant de sources inconnues. Ces tactiques sont utilisées pour insérer des acteurs malveillants dans les fils de messages ou pour déclencher l’installation de logiciels malveillants par le biais de liens déguisés. Avant de rejoindre un groupe de messagerie, confirmez la légitimité de l’invitation en contactant l’administrateur du groupe par l’intermédiaire d’un canal de contact distinct et connu. C’est une petite action qui permet d’éviter de gros problèmes.

La CISA recommande également d’examiner régulièrement tous les dispositifs liés aux applications de messagerie cryptées. Des appareils connectés non reconnus ou obsolètes peuvent être le signe d’un accès non autorisé. Retirez tout appareil que vous n’utilisez pas activement. Activez l’authentification FIDO (Fast IDentity Online) dans la mesure du possible. Elle est plus sûre que l’authentification multifactorielle par SMS car elle ne repose pas sur des canaux facilement interceptables. Enfin, cessez d’utiliser l’authentification multifactorielle par SMS. Il s’agit d’un vecteur d’attaque courant qui devrait être remplacé par des méthodes biométriques, des jetons matériels ou des méthodes basées sur FIDO.

Pour les dirigeants, le message est simple : les outils seuls ne suffisent pas. Les applications cryptées doivent être soutenues par des protocoles de sécurité et une discipline d’utilisation. Il vaut la peine d’organiser des formations et des audits internes pour le personnel clé. Il ne s’agit pas de risques théoriques. Les faiblesses exploitées aujourd’hui ne sont pas des failles dans les applications, mais des lacunes dans la manière dont elles sont utilisées. Les organisations qui veulent garder une longueur d’avance doivent contrôler à la fois les choix techniques et les facteurs humains.

Dernières réflexions

Il ne s’agit pas de préférences en matière de plateforme ou de nouvelles fonctionnalités, mais d’une question de sécurité critique. Le message de la CISA est clair : les paramètres par défaut, les protocoles existants et les habitudes occasionnelles ne suffisent plus. Les acteurs de la menace ont pris de l’ampleur. Le ciblage d’États-nations, l’ingénierie sociale et le déploiement de logiciels espions font désormais partie de l’environnement de risque quotidien des dirigeants, et non plus de cas marginaux. Les messageries cryptées et les dispositifs renforcés ne sont pas des avantages, mais des exigences de base.

Pour les cadres, il s’agit d’un appel à l’action direct. Auditez votre pile de communications. Mettez en place une messagerie cryptée sur tous les points d’extrémité. Donnez la priorité au matériel doté d’un support de sécurité fiable. Intégrez l’hygiène des appareils et le comportement des utilisateurs à la culture de sécurité de votre organisation, et non pas des solutions réactives après une violation.

La protection de la vie privée n’est pas un slogan. C’est une infrastructure. Et en ce moment, c’est une infrastructure qui a besoin de votre attention directe.

Alexander Procter

décembre 5, 2025

13 Min

Technologies et innovation
Votre marque a besoin d’un DAM pour rester cohérente
Déc 4, 2025

14 min
Technologies et innovation
Là où l’IA échoue pour la plupart des entreprises
Déc 4, 2025

15 min
Recherche et conception produit
Comment les données intelligentes boostent la satisfaction client
Déc 4, 2025

11 min

La CISA prévient que le SMS classique n’est plus sûr

La CISA met en garde contre les messages non cryptés en raison de l’augmentation des cybermenaces

RCS ne prend pas en charge le chiffrement complet sur iOS et Android

Apple devrait introduire le cryptage RCS dans la prochaine mise à jour d’iOS

Il est recommandé d’utiliser des applications de messagerie cryptées telles que Signal et WhatsApp.

Recommandations spécifiques en matière de cybersécurité pour les utilisateurs d’iPhone

Les utilisateurs d’Android sont invités à donner la priorité à la sécurisation des appareils et des paramètres

Conseils pour une utilisation sécurisée des plates-formes de messagerie cryptées

Dernières réflexions

Votre marque a besoin d’un DAM pour rester cohérente

Là où l’IA échoue pour la plupart des entreprises

Comment les données intelligentes boostent la satisfaction client

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !