Apple et Google activent le chiffrement de bout en bout pour le RCS - Une première dans l'histoire de la messagerie
Pour la toute première fois, les messages texte échangés entre les appareils iPhone et Android sont protégés par un chiffrement de bout en bout (E2EE). Apple et Google ont annoncé le déploiement du protocole MLS (Messaging Layer Security) sur le RCS 3.0, faisant de la messagerie chiffrée multiplateforme une fonctionnalité par défaut pour des milliards d'utilisateurs - aucune application tierce n'est requise.
Ce qui a changé et pourquoi c'est important
Avant cette mise à jour, les messages envoyés entre iOS et Android basculaient vers les SMS standard ou le RCS de base - tous deux complètement non protégés. Toute personne disposant des bons outils - une agence de renseignement, un organisme d'application de la loi, un employé malveillant des télécommunications ou un attaquant sophistiqué - pouvait intercepter ces messages en clair. Des milliards de conversations textuelles multiplateformes se déroulaient à découvert chaque jour.MLS (RFC 9420), ratifié par l'IETF en 2023, est la même norme cryptographique qui alimente déjà le chiffrement sur des plateformes telles que Cisco Webex. Contrairement au protocole Signal (utilisé par WhatsApp et iMessage sur les fils de discussion exclusivement Apple), MLS est conçu dès le départ pour une interopérabilité à grande échelle - ce qui signifie qu'il peut fonctionner sur différentes applications et systèmes d'exploitation sans serveur central détenant les clés.Avec cette mise à jour, lorsqu'un utilisateur d'iPhone envoie un SMS à un utilisateur d'Android via l'interface Messages par défaut ou iMessage, la conversation est chiffrée de bout en bout par défaut. Ni Apple, ni Google, ni l'opérateur ne peuvent lire ces messages.
Ce que les agences de renseignement perdent réellement
Les SMS et RCS multiplateformes sont depuis longtemps une cible principale pour les programmes de surveillance de masse. Les documents divulgués par Edward Snowden ont montré que les agences de renseignement américaines et britanniques collectaient le trafic SMS à grande échelle à partir des réseaux des opérateurs. Les forces de l'ordre nationales aux États-Unis, dans l'UE et ailleurs obtenaient régulièrement des enregistrements SMS en masse par le biais de procédures légales - ou les achetaient simplement à des courtiers en données.Ce canal particulier est désormais fermé. Les agences de renseignement peuvent toujours cibler des appareils individuels via des logiciels malveillants (voir : Pegasus de NSO Group), obliger les magasins d'applications à fournir des mises à jour contenant des portes dérobées, ou utiliser d'autres vecteurs. Mais l'interception passive et massive du trafic textuel multiplateforme n'est plus possible de la même manière.Les groupes de pression des forces de l'ordre ont déjà commencé à réclamer des portes dérobées obligatoires dans MLS. Le projet de loi C-22 au Canada - qui proposait la conservation obligatoire des métadonnées et des portes dérobées pour la messagerie chiffrée - a conduit Signal à annoncer qu'il quitterait le marché canadien s'il était adopté. En Europe, la proposition Chat Control obligerait les plateformes à analyser tous les messages côté serveur avant le chiffrement. Si Apple et Google sont contraints de mettre en œuvre l'analyse au niveau de l'appareil avant le chiffrement, le gain en matière de confidentialité est annulé.
Ce que RCS 3.0 ne protège pas
L'E2EE chiffre le contenu des messages en transit. Il ne protège pas :
- Les métadonnées - à qui vous avez envoyé des SMS, quand, à quelle fréquence et depuis quelle adresse IP. Ces données restent visibles pour les opérateurs et les plateformes.
- Les sauvegardes - si vous sauvegardez vos messages sur iCloud ou Google Drive sans activer les sauvegardes chiffrées de bout en bout, ces messages stockés peuvent être consultés dans le cadre d'une procédure légale.
- L'accès à l'appareil - si les forces de l'ordre saisissent votre téléphone et le déverrouillent, les messages sur l'appareil sont lisibles.
- L'exfiltration par capture d'écran - il n'y a aucune protection contre le partage de vos messages par le destinataire.
Pour les utilisateurs évoluant dans des environnements à haut risque - journalistes, militants, dissidents, avocats - les messageries chiffrées dédiées comme Signal restent le choix le plus sûr. Les messages éphémères de Signal, l'expéditeur scellé et l'architecture sans métadonnées vont bien plus loin que ce que propose RCS 3.0. Le contraste est frappant : alors qu'Apple et Google ajoutent le chiffrement, d'autres plateformes ont évolué dans la direction opposée. Mais pour l'utilisateur moyen qui n'installera jamais d'application de confidentialité dédiée, l'E2EE par défaut sur l'interface de messagerie native est une amélioration significative.
Pourquoi les utilisateurs de VPN devraient s'en soucier
Les utilisateurs de VPN ont tendance à penser en termes de couches. Un VPN chiffre votre trafic entre votre appareil et le serveur VPN - vous protégeant de la surveillance au niveau du FAI et des attaques de l'homme du milieu sur les réseaux publics. Mais jusqu'à présent, le contenu réel de vos SMS voyageait entièrement en dehors de cette couche protégée, visible par les opérateurs, que votre VPN soit activé ou non.Le RCS E2EE et un VPN sont des protections complémentaires qui couvrent différents vecteurs de menace. L'un sécurise le contenu des messages de bout en bout. L'autre sécurise votre trafic réseau contre les FAI et les observateurs au niveau du réseau. L'utilisation conjointe des deux comble deux lacunes distinctes dans votre politique de confidentialité.
Calendrier et disponibilité
Le déploiement de MLS a commencé le 11 mai 2026. Apple a confirmé que la fonctionnalité est active dans iOS 18.5 et versions ultérieures ; Google a confirmé qu'elle est activée par défaut dans Google Messages sur Android. Les utilisateurs n'ont aucune mesure à prendre - le chiffrement s'active automatiquement lorsque les deux parties disposent de versions logicielles compatibles.Les anciens appareils exécutant des versions antérieures d'iOS ou d'Android basculeront vers le RCS ou les SMS non chiffrés. Vérifiez votre version d'iOS ou d'Android si vous souhaitez confirmer que vous êtes couvert.
