Un groupe de chercheurs suisses a publié une analyse détaillée de la sécurité cryptographique de Threema.
Les sept attaques que nous avons présentées mettent en évidence plusieurs faiblesses fondamentales dans la conception de Threema
Kenneth G. Paterson, Matteo Scarlata, Kien Tuong Truong de l’ETH Zurich
Les 3 chercheurs tirent principalement trois leçons utiles de leurs analyses pour les développeurs lors du déploiement de protocoles cryptographiques complexes:
- L’utilisation de bibliothèques modernes et sécurisées pour les primitives cryptographiques ne permet pas à elle seule de concevoir un protocole sécurisé.
- Un protocole autonome peut peut sembler sûr, mais les interactions entre protocoles peuvent compromettre ces garanties de sécurité.
- Notre incapacité à trouver une attaque sur un protocole n’implique pas qu’il est sûr.
Un aspect relevé dans plusieurs articles est l’attitude de Threema mal perçue par la communauté sécurité. Ainsi, dans une publication sur le Web, les responsables de Threema ont déclaré que les vulnérabilités s’appliquaient à un ancien protocole qui n’est plus utilisé et que les chercheurs avaient exagéré leurs découvertes.
Les moyennes et grandes entreprises qui utilisent Threema dans leurs processus professionnels devraient sérieusement envisager de migrer vers Threema OnPrem afin d’avoir un contrôle complet sur les serveurs de messagerie.
Kasperski