%3Aquality(100)&w=640&q=75){kind=logo}
Le chiffrement seul ne constitue pas une stratégie de sécurité
Les applications grand public ne disposent pas de contrôles d'identité et d'appareils, ce qui met en péril les données sensibles.
11 mars 2026
·Blog
·Communications sécurisées
%3Aquality(100)&w=3840&q=75)
Les services de renseignement néerlandais ont confirmé ce que les architectes de sécurité d'entreprise savent depuis longtemps : les applications de messagerie grand public, quelle que soit leur implémentation de chiffrement, sont structurellement inadaptées aux communications sensibles du gouvernement et de l'armée. La raison n'est pas la cryptographie. C'est l'absence totale d'identité vérifiée et d'enregistrement contrôlé des appareils.
Une campagne mondiale. Des applications grand public. Des résultats prévisibles.
Le 9 mars 2026, le Service de renseignement et de sécurité militaire (MIVD) et le Service général de renseignement et de sécurité (AIVD) des Pays-Bas ont publié un avis conjoint confirmant l'existence d'une campagne coordonnée à grande échelle menée par l'État russe visant à compromettre les comptes sur les applications de messagerie grand public utilisées par des responsables gouvernementaux, des fonctionnaires, des militaires et des journalistes. Des employés du gouvernement néerlandais ont été confirmés comme victimes.
La méthode technique est précise et discrète : ingénierie sociale, pas de zero-days. Les pirates se sont fait passer pour les équipes d'assistance de ces plateformes grand public, contactant directement leurs cibles avec de fausses alertes signalant des « activités suspectes » ou des « fuites de données possibles ». Les cibles qui ont répondu ont été manipulées pour qu'elles communiquent leurs codes de vérification SMS et leurs codes PIN, leur donnant ainsi un accès complet à leur compte sans qu'aucun logiciel malveillant n'ait été déployé.
Dans une deuxième technique, les pirates ont exploité les fonctionnalités de liaison entre appareils conçues pour faciliter la vie des utilisateurs, qui permettent d'accéder à des comptes à partir d'un appareil secondaire tel qu'un ordinateur portable. Une fois cette fonctionnalité détournée, elle donne accès aux archives historiques des messages, les victimes ignorant souvent qu'elles ont été piratées. Ces deux techniques ont une cause commune : les applications de messagerie grand public authentifient les utilisateurs à l'aide d'un numéro de téléphone et d'un code. Il n'y a pas de vérification d'identité. Il n'y a pas d'enregistrement contrôlé des appareils. La porte est intégrée au produit.
« Malgré leur option de chiffrement de bout en bout, les applications de messagerie grand public ne doivent pas être utilisées comme canaux de transmission d'informations classifiées, confidentielles ou sensibles. »
— Vice-amiral Peter Reesink, directeur du service de renseignement militaire néerlandais (MIVD)
L'identité et le fossé technologique dont personne ne veut parler
Cette campagne n'a pas permis de contourner le cryptage. Elle n'a pas nécessité l'exploitation d'une vulnérabilité zero-day. Elle n'a nécessité rien de plus qu'un numéro de téléphone, un SMS et une cible qui n'avait aucune raison de soupçonner que sa plateforme de messagerie n'avait aucun moyen de vérifier l'identité de la personne qui demandait l'accès.
Les applications de messagerie grand public sont conçues pour être adoptées par le grand public. L'authentification est conçue pour être fluide : un numéro de téléphone, un code SMS à usage unique et un code PIN facultatif. L'enregistrement des appareils se fait en libre-service : les utilisateurs peuvent connecter des appareils secondaires en scannant un code QR. Des procédures de récupération de compte existent spécifiquement pour permettre l'accès sans l'appareil d'origine. Chacune de ces fonctionnalités est une décision produit pertinente pour une application grand public comptant un milliard d'utilisateurs. Chacune d'entre elles constitue une faille de sécurité inacceptable dans un environnement de communication classifié ou sensible.
Facteur d'attaque | Détail |
Vecteur d'attaque | Ingénierie sociale ciblant les utilisateurs d'applications de messagerie grand public via l'usurpation d'identité sur les plateformes |
Méthode d'exploitation | Hameçonnage visant à obtenir des codes de vérification par SMS et des codes PIN — des identifiants dont dépendent les applications grand public de par leur conception |
Technique secondaire | Utilisation abusive des fonctionnalités de liaison entre appareils secondaires à l'aide de codes QR malveillants |
Défaillance racinaire | Pas de vérification des appareils, pas de liaison d'identité, pas de contrôle des sessions administratives |
Données concernées | Sessions actives, discussions de groupe et archives complètes des messages historiques |
Difficulté de détection | Élevé — les victimes ignorent souvent que leur compte a été lié à un appareil hostile. |
Acteur malveillant | APT soutenues par l'État russe (confirmées par le MIVD et l'AIVD néerlandais, mars 2026) |
Il ne s'agit pas d'un incident isolé. En 2025, Google Threat Intelligence a documenté le déploiement par des acteurs russes de tactiques identiques contre le personnel militaire ukrainien, en intégrant des codes QR malveillants dans des pages de phishing conçues pour ressembler à des applications militaires officielles. L'avis néerlandais confirme que ces mêmes TTP sont désormais déployées à grande échelle contre des cibles gouvernementales de l'OTAN. Parmi les acteurs malveillants impliqués figurent APT44 (Sandworm) et UNC5792, qui opèrent sous la direction directe de l'État russe.
La vérification de l'identité et des appareils n'est pas une fonctionnalité, mais une condition préalable.
Une mise en œuvre sécurisée des communications comporte deux couches non négociables. La première est la sécurité des canaux : un chiffrement de bout en bout qui protège le contenu des messages en transit et au repos. Les applications de messagerie grand public ont largement résolu cette couche. La deuxième couche, celle qui a été exploitée dans l'avis néerlandais, est l'identité et l'intégrité des appareils : l'assurance cryptographique que la personne qui envoie un message est bien celle que l'organisation a vérifiée, sur un appareil contrôlé par l'organisation.
Sans ces deux couches, le chiffrement des canaux revient à une porte verrouillée dont la clé serait laissée à l'extérieur. La violation néerlandaise n'a pas nécessité de forcer la serrure. Il a suffi de demander à quelqu'un de remettre la clé, et le système n'avait aucun moyen de déterminer si la demande était légitime.
L'exigence de sécurité à deux niveaux
Couche 1 — Sécurité des canaux : chiffrement de bout en bout avec propriété des clés par l'entreprise. Contenu des messages protégé pendant le transfert et au repos, grâce à des clés cryptographiques qui restent sous le contrôle de l'organisation.
Couche 2 — Identité et intégrité des appareils : identité utilisateur vérifiée par cryptographie et liée à un appareil géré par l'entreprise. Aucune inscription sans autorisation administrative. Aucun accès sans la présence des deux facteurs.
BlackBerry Secure Communications est la norme incontournable pour les communications critiques.
BlackBerry® Secure Communications a été conçu pour combler ces deux failles. La surface d'attaque exploitée dans l'avis néerlandais n'existe pas dans l'architecture de la solution BlackBerry, car les conditions structurelles qui l'ont rendue possible (enregistrement des appareils en libre-service, authentification par SMS, processus de récupération des comptes consommateurs) n'ont jamais été mises en place.
01 | Vérification cryptographique de l'identité Couche de base Chaque utilisateur de BlackBerry Secure Communications est enregistré avec un identifiant cryptographique émis et géré par l'entreprise. L'authentification ne repose pas sur un numéro de téléphone ou un code SMS à usage unique. Il n'existe aucun identifiant qu'un pirate puisse usurper, car aucun identifiant de ce type n'existe dans le processus d'authentification. L'identité est vérifiée lors de l'inscription, puis à chaque session. |
02 | Inscription des appareils contrôlés par l'entreprise Couche de base Les appareils sont enregistrés dans BlackBerry Secure Communications uniquement via un processus d'approvisionnement autorisé par l'entreprise. Aucun utilisateur ne peut enregistrer lui-même un appareil secondaire. Aucun code QR scanné en dehors du flux de travail d'approvisionnement ne peut associer un appareil à un compte. L'ensemble des abus liés à l'association d'appareils, deuxième technique utilisée dans la campagne néerlandaise, est structurellement impossible. |
03 | Liaison de session et attestation continue des appareils Couche de base Les sessions actives sont liées à l'appareil vérifié. Si un appareil est remplacé, perdu ou présente un comportement anormal, la session est invalidée. L'attestation continue garantit qu'un appareil vérifié ne peut pas être remplacé silencieusement en cours de session. Les administrateurs reçoivent des alertes en cas d'activité anormale de l'appareil et peuvent mettre fin aux sessions à distance en temps réel. |
04 | Chiffrement de bout en bout avec propriété des clés par l'entreprise Les clés de chiffrement sont générées et gérées au sein même de l'entreprise, et non par une plateforme tierce. Il n'y a pas d'organisme externe chargé de la gestion des clés dont l'équipe d'assistance pourrait être usurpée, car l'autorité de gestion des clés ne quitte jamais l'organisation. Les organisations conservent un contrôle cryptographique total et peuvent appliquer des politiques de rotation, de révocation et d'audit des clés. |
05 | Audit administratif, contrôle d'accès et effacement à distance Chaque inscription, session, connexion d'appareil et événement d'accès est enregistré et peut être vérifié par les administrateurs de l'entreprise. Des contrôles d'accès basés sur les rôles déterminent qui peut communiquer avec qui. Les appareils compromis ou perdus peuvent être effacés à distance. L'accès silencieux prolongé qui a caractérisé la violation néerlandaise (les victimes n'ont rien remarqué pendant des jours, voire des semaines) est difficile à maintenir dans un environnement offrant une visibilité administrative totale. |
06 | Aucune dépendance vis-à-vis de l'infrastructure cloud grand public BlackBerry Secure Communications n'achemine pas les données via l'infrastructure cloud grand public ou des serveurs tiers. Les données des messages restent sous le contrôle de l'organisation. Il n'y a pas de processus de récupération de compte grand public susceptible d'être détourné, pas d'opération d'assistance externe susceptible d'être usurpée, et aucun changement de politique de la plateforme susceptible de modifier la posture de sécurité de l'organisation sans son autorisation explicite. |
07 | Cryptographie validée FIPS 140-2 et déploiement souverain Pour les déploiements gouvernementaux et de défense, BlackBerry Secure Communications prend en charge la cryptographie validée FIPS 140-2 et le déploiement sur site ou dans un cloud souverain. La posture de sécurité est régie par l'organisation, et non par la feuille de route ou les conditions d'utilisation d'une plateforme grand public. |
La norme évolue. L'écart demeure.
La déclaration du directeur du MIVD est la directive officielle la plus claire que le secteur de la sécurité ait reçue depuis des années. Les messageries cryptées grand public ne peuvent se substituer aux communications sécurisées destinées aux entreprises. L'avis néerlandais ne représente pas une nouvelle attaque. Il représente le résultat inévitable et prévisible du déploiement d'outils conçus pour une utilisation grand public dans des environnements qui exigent une résistance aux attaques.
La surface d'attaque n'est pas une vulnérabilité qui sera corrigée. Il s'agit d'une caractéristique architecturale des applications de messagerie grand public qui ne peut être supprimée sans détruire la convivialité qui les rend viables en tant que produits grand public. Les organisations qui ont besoin de communications sécurisées pour les informations classifiées, sensibles ou critiques sur le plan opérationnel ont besoin d'une plateforme conçue dès le départ pour répondre à cette exigence, avec une identité vérifiée et un enregistrement contrôlé des appareils comme couches fondamentales et obligatoires.
Les applications de messagerie grand public cryptent le canal. Elles ne vérifient pas l'identité de la personne. Elles ne contrôlent pas l'appareil. Ces deux lacunes ne sont pas des cas marginaux, elles constituent l'attaque. La question qui se pose à toute organisation traitant des communications sensibles est de savoir si ces lacunes sont acceptables. Pour les employés du gouvernement néerlandais dont les comptes ont été compromis en mars 2026, la réponse est venue avant même que la question ne soit posée.
Le chiffrement seul ne constitue pas une stratégie de sécurité
Les applications grand public ne disposent pas de contrôles d'identité et d'appareils, ce qui met en péril les données sensibles.
11 mars 2026
·Blog
·Communications sécurisées
Les services de renseignement néerlandais ont confirmé ce que les architectes de sécurité d'entreprise savent depuis longtemps : les applications de messagerie grand public, quelle que soit leur implémentation de chiffrement, sont structurellement inadaptées aux communications sensibles du gouvernement et de l'armée. La raison n'est pas la cryptographie. C'est l'absence totale d'identité vérifiée et d'enregistrement contrôlé des appareils.
Une campagne mondiale. Des applications grand public. Des résultats prévisibles.
Le 9 mars 2026, le Service de renseignement et de sécurité militaire (MIVD) et le Service général de renseignement et de sécurité (AIVD) des Pays-Bas ont publié un avis conjoint confirmant l'existence d'une campagne coordonnée à grande échelle menée par l'État russe visant à compromettre les comptes sur les applications de messagerie grand public utilisées par des responsables gouvernementaux, des fonctionnaires, des militaires et des journalistes. Des employés du gouvernement néerlandais ont été confirmés comme victimes.
La méthode technique est précise et discrète : ingénierie sociale, pas de zero-days. Les pirates se sont fait passer pour les équipes d'assistance de ces plateformes grand public, contactant directement leurs cibles avec de fausses alertes signalant des « activités suspectes » ou des « fuites de données possibles ». Les cibles qui ont répondu ont été manipulées pour qu'elles communiquent leurs codes de vérification SMS et leurs codes PIN, leur donnant ainsi un accès complet à leur compte sans qu'aucun logiciel malveillant n'ait été déployé.
Dans une deuxième technique, les pirates ont exploité les fonctionnalités de liaison entre appareils conçues pour faciliter la vie des utilisateurs, qui permettent d'accéder à des comptes à partir d'un appareil secondaire tel qu'un ordinateur portable. Une fois cette fonctionnalité détournée, elle donne accès aux archives historiques des messages, les victimes ignorant souvent qu'elles ont été piratées. Ces deux techniques ont une cause commune : les applications de messagerie grand public authentifient les utilisateurs à l'aide d'un numéro de téléphone et d'un code. Il n'y a pas de vérification d'identité. Il n'y a pas d'enregistrement contrôlé des appareils. La porte est intégrée au produit.
« Malgré leur option de chiffrement de bout en bout, les applications de messagerie grand public ne doivent pas être utilisées comme canaux de transmission d'informations classifiées, confidentielles ou sensibles. »
— Vice-amiral Peter Reesink, directeur du service de renseignement militaire néerlandais (MIVD)
L'identité et le fossé technologique dont personne ne veut parler
Cette campagne n'a pas permis de contourner le cryptage. Elle n'a pas nécessité l'exploitation d'une vulnérabilité zero-day. Elle n'a nécessité rien de plus qu'un numéro de téléphone, un SMS et une cible qui n'avait aucune raison de soupçonner que sa plateforme de messagerie n'avait aucun moyen de vérifier l'identité de la personne qui demandait l'accès.
Les applications de messagerie grand public sont conçues pour être adoptées par le grand public. L'authentification est conçue pour être fluide : un numéro de téléphone, un code SMS à usage unique et un code PIN facultatif. L'enregistrement des appareils se fait en libre-service : les utilisateurs peuvent connecter des appareils secondaires en scannant un code QR. Des procédures de récupération de compte existent spécifiquement pour permettre l'accès sans l'appareil d'origine. Chacune de ces fonctionnalités est une décision produit pertinente pour une application grand public comptant un milliard d'utilisateurs. Chacune d'entre elles constitue une faille de sécurité inacceptable dans un environnement de communication classifié ou sensible.
Facteur d'attaque | Détail |
Vecteur d'attaque | Ingénierie sociale ciblant les utilisateurs d'applications de messagerie grand public via l'usurpation d'identité sur les plateformes |
Méthode d'exploitation | Hameçonnage visant à obtenir des codes de vérification par SMS et des codes PIN — des identifiants dont dépendent les applications grand public de par leur conception |
Technique secondaire | Utilisation abusive des fonctionnalités de liaison entre appareils secondaires à l'aide de codes QR malveillants |
Défaillance racinaire | Pas de vérification des appareils, pas de liaison d'identité, pas de contrôle des sessions administratives |
Données concernées | Sessions actives, discussions de groupe et archives complètes des messages historiques |
Difficulté de détection | Élevé — les victimes ignorent souvent que leur compte a été lié à un appareil hostile. |
Acteur malveillant | APT soutenues par l'État russe (confirmées par le MIVD et l'AIVD néerlandais, mars 2026) |
Il ne s'agit pas d'un incident isolé. En 2025, Google Threat Intelligence a documenté le déploiement par des acteurs russes de tactiques identiques contre le personnel militaire ukrainien, en intégrant des codes QR malveillants dans des pages de phishing conçues pour ressembler à des applications militaires officielles. L'avis néerlandais confirme que ces mêmes TTP sont désormais déployées à grande échelle contre des cibles gouvernementales de l'OTAN. Parmi les acteurs malveillants impliqués figurent APT44 (Sandworm) et UNC5792, qui opèrent sous la direction directe de l'État russe.
La vérification de l'identité et des appareils n'est pas une fonctionnalité, mais une condition préalable.
Une mise en œuvre sécurisée des communications comporte deux couches non négociables. La première est la sécurité des canaux : un chiffrement de bout en bout qui protège le contenu des messages en transit et au repos. Les applications de messagerie grand public ont largement résolu cette couche. La deuxième couche, celle qui a été exploitée dans l'avis néerlandais, est l'identité et l'intégrité des appareils : l'assurance cryptographique que la personne qui envoie un message est bien celle que l'organisation a vérifiée, sur un appareil contrôlé par l'organisation.
Sans ces deux couches, le chiffrement des canaux revient à une porte verrouillée dont la clé serait laissée à l'extérieur. La violation néerlandaise n'a pas nécessité de forcer la serrure. Il a suffi de demander à quelqu'un de remettre la clé, et le système n'avait aucun moyen de déterminer si la demande était légitime.
L'exigence de sécurité à deux niveaux
Couche 1 — Sécurité des canaux : chiffrement de bout en bout avec propriété des clés par l'entreprise. Contenu des messages protégé pendant le transfert et au repos, grâce à des clés cryptographiques qui restent sous le contrôle de l'organisation.
Couche 2 — Identité et intégrité des appareils : identité utilisateur vérifiée par cryptographie et liée à un appareil géré par l'entreprise. Aucune inscription sans autorisation administrative. Aucun accès sans la présence des deux facteurs.
BlackBerry Secure Communications est la norme incontournable pour les communications critiques.
BlackBerry® Secure Communications a été conçu pour combler ces deux failles. La surface d'attaque exploitée dans l'avis néerlandais n'existe pas dans l'architecture de la solution BlackBerry, car les conditions structurelles qui l'ont rendue possible (enregistrement des appareils en libre-service, authentification par SMS, processus de récupération des comptes consommateurs) n'ont jamais été mises en place.
01 | Vérification cryptographique de l'identité Couche de base Chaque utilisateur de BlackBerry Secure Communications est enregistré avec un identifiant cryptographique émis et géré par l'entreprise. L'authentification ne repose pas sur un numéro de téléphone ou un code SMS à usage unique. Il n'existe aucun identifiant qu'un pirate puisse usurper, car aucun identifiant de ce type n'existe dans le processus d'authentification. L'identité est vérifiée lors de l'inscription, puis à chaque session. |
02 | Inscription des appareils contrôlés par l'entreprise Couche de base Les appareils sont enregistrés dans BlackBerry Secure Communications uniquement via un processus d'approvisionnement autorisé par l'entreprise. Aucun utilisateur ne peut enregistrer lui-même un appareil secondaire. Aucun code QR scanné en dehors du flux de travail d'approvisionnement ne peut associer un appareil à un compte. L'ensemble des abus liés à l'association d'appareils, deuxième technique utilisée dans la campagne néerlandaise, est structurellement impossible. |
03 | Liaison de session et attestation continue des appareils Couche de base Les sessions actives sont liées à l'appareil vérifié. Si un appareil est remplacé, perdu ou présente un comportement anormal, la session est invalidée. L'attestation continue garantit qu'un appareil vérifié ne peut pas être remplacé silencieusement en cours de session. Les administrateurs reçoivent des alertes en cas d'activité anormale de l'appareil et peuvent mettre fin aux sessions à distance en temps réel. |
04 | Chiffrement de bout en bout avec propriété des clés par l'entreprise Les clés de chiffrement sont générées et gérées au sein même de l'entreprise, et non par une plateforme tierce. Il n'y a pas d'organisme externe chargé de la gestion des clés dont l'équipe d'assistance pourrait être usurpée, car l'autorité de gestion des clés ne quitte jamais l'organisation. Les organisations conservent un contrôle cryptographique total et peuvent appliquer des politiques de rotation, de révocation et d'audit des clés. |
05 | Audit administratif, contrôle d'accès et effacement à distance Chaque inscription, session, connexion d'appareil et événement d'accès est enregistré et peut être vérifié par les administrateurs de l'entreprise. Des contrôles d'accès basés sur les rôles déterminent qui peut communiquer avec qui. Les appareils compromis ou perdus peuvent être effacés à distance. L'accès silencieux prolongé qui a caractérisé la violation néerlandaise (les victimes n'ont rien remarqué pendant des jours, voire des semaines) est difficile à maintenir dans un environnement offrant une visibilité administrative totale. |
06 | Aucune dépendance vis-à-vis de l'infrastructure cloud grand public BlackBerry Secure Communications n'achemine pas les données via l'infrastructure cloud grand public ou des serveurs tiers. Les données des messages restent sous le contrôle de l'organisation. Il n'y a pas de processus de récupération de compte grand public susceptible d'être détourné, pas d'opération d'assistance externe susceptible d'être usurpée, et aucun changement de politique de la plateforme susceptible de modifier la posture de sécurité de l'organisation sans son autorisation explicite. |
07 | Cryptographie validée FIPS 140-2 et déploiement souverain Pour les déploiements gouvernementaux et de défense, BlackBerry Secure Communications prend en charge la cryptographie validée FIPS 140-2 et le déploiement sur site ou dans un cloud souverain. La posture de sécurité est régie par l'organisation, et non par la feuille de route ou les conditions d'utilisation d'une plateforme grand public. |
La norme évolue. L'écart demeure.
La déclaration du directeur du MIVD est la directive officielle la plus claire que le secteur de la sécurité ait reçue depuis des années. Les messageries cryptées grand public ne peuvent se substituer aux communications sécurisées destinées aux entreprises. L'avis néerlandais ne représente pas une nouvelle attaque. Il représente le résultat inévitable et prévisible du déploiement d'outils conçus pour une utilisation grand public dans des environnements qui exigent une résistance aux attaques.
La surface d'attaque n'est pas une vulnérabilité qui sera corrigée. Il s'agit d'une caractéristique architecturale des applications de messagerie grand public qui ne peut être supprimée sans détruire la convivialité qui les rend viables en tant que produits grand public. Les organisations qui ont besoin de communications sécurisées pour les informations classifiées, sensibles ou critiques sur le plan opérationnel ont besoin d'une plateforme conçue dès le départ pour répondre à cette exigence, avec une identité vérifiée et un enregistrement contrôlé des appareils comme couches fondamentales et obligatoires.
Les applications de messagerie grand public cryptent le canal. Elles ne vérifient pas l'identité de la personne. Elles ne contrôlent pas l'appareil. Ces deux lacunes ne sont pas des cas marginaux, elles constituent l'attaque. La question qui se pose à toute organisation traitant des communications sensibles est de savoir si ces lacunes sont acceptables. Pour les employés du gouvernement néerlandais dont les comptes ont été compromis en mars 2026, la réponse est venue avant même que la question ne soit posée.
%3Aquality(100)&w=3840&q=75)