Tendances personnalisées de chiffrement dans les applications de messagerie chinoises
Des recherches indiquent une tendance distinctive au sein des applications de messagerie chinoises qui diverge des pratiques de sécurité conventionnelles. Au lieu de suivre les protocoles d’encryption standards tels que le TLS 1.3, les développeurs ont mis au point des systèmes cryptographiques personnalisés, exposant potentiellement des vulnérabilités. La principale révélation dévoilée par les experts concerne l’utilisation d’un protocole sur mesure appelé MMTLS sur des plateformes populaires comme WeChat.
Plutôt que de citer directement des chercheurs, il est révélé que l’encryption MMTLS de WeChat fonctionne par une approche en couches, enveloppant le texte en clair dans une encryption de couche métier avant d’appliquer l’encryption MMTLS pour la transmission. En plongeant plus profondément dans l’infrastructure de sécurité de l’application, les experts ont découvert des faiblesses dans l’encryption de couche métier basée sur l’AES-CBC, notamment en ce qui concerne l’exposition de métadonnées telles que les identifiants d’utilisateur et les URI.
Malgré les préoccupations précédentes concernant les failles de sécurité, l’intégration de MMTLS a renforcé WeChat contre les attaques connues et a protégé les communications des utilisateurs contre l’écoute intrusive. Notamment, l’inclinaison chinoise vers des systèmes de cryptographie personnalisés reflète un thème plus large d’innovation, mais introduit également des complexités pour garantir des mesures de sécurité robustes. Alors que les développeurs peuvent opter pour des solutions d’encryption sur mesure comme NewDNS dans Tencent Mars, l’absence de documentation normalisée pose des défis qui pourraient compromettre la résilience de l’application face à des menaces potentielles.
En essence, l’évolution des méthodologies d’encryption dans les applications de messagerie chinoises souligne une approche unique qui contraste avec les standards mondiaux d’encryption, nécessitant une évaluation plus nuancée des pratiques de sécurité dans le domaine numérique.
