Une journaliste d’investigation reçoit un message d’une source confidentielle — quelqu’un qui risque gros en lui parlant. Le chiffrement d’iMessage est actif, l’icône du cadenas est là. Mais est-ce vraiment cette personne qui écrit? Ou quelqu’un qui s’est glissé entre elles deux, invisible, capable de lire chaque mot?
C’est exactement la question à laquelle iMessage Contact Key Verification, lancé en décembre 2023, apporte une réponse concrète.
TL;DR
iMessage chiffre vos messages, mais un acteur très sophistiqué pourrait théoriquement se placer entre vous et votre contact à l’insu des deux parties. Contact Key Verification permet de confirmer cryptographiquement que vous parlez à la bonne personne via un code court à comparer. Activation sur iOS 17.2 en trois étapes. Utile surtout pour journalistes, avocats et activistes — pas indispensable pour monsieur tout-le-monde.
Le problème : MITM sur iMessage même avec le chiffrement
Le chiffrement de bout en bout d’iMessage fonctionne ainsi : votre appareil génère une paire de clés cryptographiques — une clé publique (partagée avec tout le monde) et une clé privée (stockée uniquement sur votre appareil). Quand votre contact veut vous envoyer un message, son iPhone va chercher votre clé publique sur les serveurs Apple, chiffre le message avec elle, et l’envoie. Seul votre iPhone, avec sa clé privée, peut déchiffrer ce message. Apple lui-même ne peut pas le lire.
C’est solide. Mais il existe un angle mort.
Imaginez un acteur très puissant — une agence gouvernementale, un opérateur télécom complice ou un attaquant ayant compromis l’infrastructure Apple — capable d’interposer ses propres serveurs dans le processus. Concrètement : quand votre contact cherche votre clé publique, il reçoit à la place la clé de l’attaquant. Votre contact chiffre ses messages avec cette clé frauduleuse. L’attaquant les déchiffre, les lit, puis les rechiffre avec votre vraie clé et vous les transmet. Vous et votre contact recevez bien les messages. Rien n’indique qu’un intermédiaire les a lus au passage.
Ce type d’attaque s’appelle une attaque de l’homme du milieu, ou MITM (Man-in-the-Middle). Elle est rare, complexe à exécuter et réservée à des adversaires disposant de ressources considérables. Mais pour un journaliste qui protège une source dans un régime autoritaire, ou un avocat qui échange des informations privilégiées, “rare” ne signifie pas “impossible”.
Le chiffrement protège le contenu de vos messages. Contact Key Verification protège l’identité de votre interlocuteur.
Comment Contact Key Verification résout le problème
La solution repose sur une idée simple : si vous et votre contact pouvez comparer une valeur dérivée de vos clés cryptographiques respectives, et que cette valeur est identique des deux côtés, alors personne ne s’est glissé entre vous.
Techniquement, Contact Key Verification utilise un mécanisme appelé Key Transparency : Apple publie les clés de chaque utilisateur dans un registre public et vérifiable, semblable à une blockchain dans son principe. Votre appareil vérifie automatiquement et en continu que la clé de votre contact dans ce registre correspond à celle utilisée dans votre conversation.
Quand vous activez la fonctionnalité, iMessage génère pour chaque conversation un code de vérification court — une suite alphanumérique d’environ soixante caractères. Si vous et votre contact comparez ce code et qu’il est identique, la certitude est établie : vous êtes bien en conversation directe, sans intermédiaire. Si les codes diffèrent, quelque chose ne va pas.
Dès qu’une anomalie est détectée — changement inattendu de clé, incohérence dans le registre — iMessage vous en informe directement dans la conversation par une alerte. Dans les scénarios extrêmes, cela peut indiquer une tentative d’interception.
Comment activer sur iOS 17.2
La procédure prend moins de deux minutes :
Étape 1. Ouvrez l’application Réglages sur votre iPhone. Appuyez sur votre nom tout en haut, puis sur iCloud.
Étape 2. Faites défiler jusqu’à la section Sécurité avancée des données (assurez-vous qu’elle est activée — c’est le chiffrement de bout en bout pour iCloud). Juste en dessous, vous trouverez la section Vérification des clés de contact. Appuyez dessus.
Étape 3. Activez le bouton Vérification des clés de contact. Si vous êtes connecté à plusieurs appareils Apple, chacun devra être mis à jour vers la version compatible (iOS 17.2, macOS 14.2 ou watchOS 10.2) pour que l’activation soit complète.
Une fois activée, votre clé de vérification est générée et publiée. Vous pouvez la consulter à tout moment dans les mêmes réglages si un contact souhaite la confirmer de son côté.
Comment vérifier un contact : trois méthodes
La vérification n’est pas automatique — elle nécessite une action consciente de votre part avec votre contact. Trois approches possibles, selon le niveau de risque et les circonstances.
En personne (méthode la plus fiable). Retrouvez votre contact physiquement. Chacun ouvre la conversation iMessage concernée, accède aux informations du contact, puis appuie sur Vérification des clés de contact. L’application affiche un code QR et un code alphanumérique. Scannez le QR de votre contact ou comparez les codes à voix haute. S’ils correspondent, la vérification est confirmée par une coche verte. Cette méthode est la plus sûre parce qu’un attaquant MITM ne peut pas être présent physiquement entre vous deux au même moment.
Par appel vocal ou vidéo. Si une rencontre physique est impossible, appelez votre contact via un canal de confiance (idéalement pas iMessage pour cette étape). Chacun lit son code à voix haute — reconnaître la voix de la personne confirme son identité. Comparez les codes pendant l’appel. Cette méthode est bonne si vous connaissez bien la voix de votre interlocuteur.
Directement dans iMessage. Si vous êtes raisonnablement confiant que la conversation n’est pas déjà compromise, vous pouvez comparer les codes par message. Ouvrez les informations du contact, appuyez sur Vérification des clés de contact, et utilisez le bouton de partage intégré pour envoyer votre code à votre contact. Demandez-lui de faire de même. Si les deux codes concordent, c’est bon. Cette méthode est pratique mais légèrement circulaire — si la conversation était déjà compromise, l’attaquant pourrait théoriquement manipuler les codes échangés.
Pour les contextes à risque réel, la vérification en personne ou par appel vocal reste la norme recommandée.
Qui en a vraiment besoin
Soyons directs : pour la grande majorité des Québécoises et Québécois, le chiffrement standard d’iMessage est amplement suffisant. Un attaquant capable de monter une attaque MITM contre Apple dispose de ressources comparables à celles d’un État. Ce n’est pas le profil de l’arnaqueur qui envoie des faux textos au nom de Postes Canada.
Contact Key Verification s’adresse à un profil précis.
Les journalistes d’investigation qui protègent des sources sous couverture, notamment ceux qui travaillent sur des sujets touchant des gouvernements étrangers ou des organisations criminelles structurées. Le cas de journalistes mexicains ou biélorusses interceptés via des outils d’État comme Pegasus illustre que ces menaces sont réelles, documentées et actives.
Les avocats qui échangent des informations protégées par le secret professionnel dans des dossiers à haute sensibilité — procédures contre des acteurs étatiques, défense dans des affaires criminelles organisées, litiges corporatifs majeurs.
Les activistes politiques et défenseurs des droits humains opérant dans des environnements où les communications sont surveillées par des gouvernements hostiles. Des organisations comme l’Electronic Frontier Foundation ou Citizen Lab documentent régulièrement des cas où des dissidents ont été ciblés précisément par des attaques de type MITM sur leurs communications chiffrées.
Les dirigeants d’entreprise négociant des transactions confidentielles ou manipulant de l’information commerciale stratégique pourraient également bénéficier de cette protection dans certains contextes.
Si vous n’appartenez à aucune de ces catégories, vous pouvez activer la fonctionnalité par principe — elle ne change rien à votre expérience quotidienne d’iMessage — mais ce n’est pas urgent.
La sécurité numérique ne se résume pas à une seule couche de protection. iMessage chiffre vos messages. Contact Key Verification confirme à qui vous les envoyez. Ce sont deux questions différentes, et maintenant Apple offre une réponse aux deux.
Si vous ou quelqu’un de votre entourage opérez dans un environnement à risque élevé, Sequr peut vous aider à évaluer votre posture de sécurité et à mettre en place les bons outils. Une conversation exploratoire suffit pour commencer.
