RCS obtient le chiffrement de bout en bout — et la messagerie multiplateforme a enfin une histoire de confidentialité
Pendant des années, la honte des SMS — transmis en texte clair sur les réseaux des opérateurs, lisibles par les opérateurs mobiles, interceptables par les dispositifs Stingray — était excusée par le fait qu’ils étaient universels. Tout le monde en avait. Rien de mieux n’était universel. Puis Apple et Google ont lancé leurs propres applications de messagerie chiffrée propriétaires, fragmentant les utilisateurs entre iMessage, RCS avec chiffrement de bout en bout (Android uniquement), Signal, WhatsApp et Telegram, sans terrain d’entente chiffré entre les plateformes.
Cela a changé en 2025 lorsque la GSMA a finalisé le RCS Universal Profile 2.4, qui inclut un chiffrement obligatoire de bout en bout utilisant le même protocole MLS (Messaging Layer Security) qui sous-tend les applications de messagerie sécurisée modernes. Avec Apple implémentant la prise en charge de RCS dans iOS 18 et activant le chiffrement E2E dans le déploiement 2025-2026, des milliards de messages entre utilisateurs Android et iPhone sont désormais chiffrés en transit pour la première fois.
Ce que fait réellement le chiffrement RCS 2.4
Le chiffrement dans RCS Universal Profile 2.4 utilise le protocole MLS (RFC 9420), un protocole de messagerie de groupe moderne développé spécifiquement pour une communication chiffrée évolutive avec secret de transmission. MLS fournit le secret de transmission — ce qui signifie que la compromission d’une clé actuelle n’expose pas rétroactivement les messages passés — et la sécurité post-compromission, qui limite les dégâts d’une exposition de clé à l’avenir.
Pour les conversations individuelles, cela signifie que les messages entre un utilisateur Android et un utilisateur iPhone sont chiffrés sur l’appareil de l’expéditeur et déchiffrés uniquement sur l’appareil du destinataire. Le réseau de l’opérateur, l’infrastructure de télécommunications et même les serveurs d’Apple et de Google ne peuvent pas lire le contenu. C’est la même garantie fondamentale que Signal et iMessage offrent déjà — et elle est désormais disponible pour la messagerie multiplateforme sans obliger les deux parties à installer une application tierce.
La messagerie de groupe bénéficie de la gestion des clés arborescente complète de MLS, qui s’adapte efficacement lorsque la composition du groupe change. Ajouter ou supprimer un participant fait pivoter les clés de tout le groupe sans nécessiter un rechiffrement complet de l’historique, ce qui représentait un défi technique significatif pour les protocoles de messagerie de groupe antérieurs.
Ce que RCS ne corrige pas
RCS avec chiffrement E2E est meilleur que les SMS, mais ce n’est pas Signal. Trois limitations méritent d’être clairement comprises.
Premièrement, les métadonnées. Le chiffrement de bout en bout protège le contenu des messages, pas les schémas de communication. Les opérateurs et les plateformes peuvent toujours voir qui a envoyé un message à qui, quand et depuis quelles antennes relais. La fonction d’expéditeur scellé de Signal et sa résistance à la collecte de métadonnées vont bien plus loin que ce que permet la spécification actuelle de RCS.
Deuxièmement, le chiffrement des sauvegardes. iMessage chiffre les sauvegardes cloud avec iCloud Advanced Data Protection activé — une option. Google Messages chiffre les sauvegardes RCS dans Google Drive derrière une phrase de passe contrôlée par l’utilisateur. Aucun des deux n’est par défaut pour la plupart des utilisateurs, ce qui signifie que l’historique des messages dans le cloud peut être accessible aux opérateurs de plateforme même lorsque les messages en transit sont chiffrés.
Troisièmement, la vérification. Signal et iMessage prennent en charge la vérification de clé hors bande — comparer les numéros de sécurité pour confirmer que vous parlez à qui vous pensez parler. Le modèle de vérification de RCS est plus faible et dépend davantage de l’infrastructure PKI des opérateurs, qui est moins fiable que la vérification directe de clé.
Pourquoi cela compte encore
L’impact significatif du chiffrement E2E de RCS ne concerne pas les chercheurs en sécurité et les défenseurs de la vie privée qui utilisent déjà Signal. Il concerne les milliards d’utilisateurs ordinaires qui utilisent par défaut l’application de messagerie du système d’exploitation — la division bulle verte/bulle bleue qui a défini la communication mobile multiplateforme pendant une décennie.
Pour ces utilisateurs, le chiffrement E2E de RCS fournit une base de référence que les SMS n’ont jamais pu apporter : confidentialité du contenu en transit, protection contre l’interception par l’opérateur et résilience face à la surveillance de masse de l’infrastructure de messagerie. Il ne protège pas contre la compromission ciblée de l’appareil ou les attaquants étatiques sophistiqués. Mais il élimine la collecte passive et ambiante du contenu des messages que les SMS permettaient par conception.
Le déploiement est inégal. Le chiffrement E2E de RCS nécessite que les deux parties soient sur un opérateur et un appareil prenant en charge l’implémentation Universal Profile 2.4. Dans les marchés où le déploiement RCS par l’opérateur est incomplet — certaines parties de l’Europe, une grande partie de l’Afrique et de l’Asie du Sud-Est — RCS peut revenir aux SMS. L’implémentation RCS d’Apple a initialement lancé le chiffrement E2E dans des marchés limités et s’étend géographiquement jusqu’en 2026.
La vue d’ensemble
L’adoption de RCS fait partie d’une convergence plus large dans la messagerie. Le Digital Markets Act de l’UE exige que les grands gardiens de plateforme ouvrent leurs API de messagerie pour l’interopérabilité, forçant WhatsApp et potentiellement iMessage à prendre en charge des clients tiers. La norme émergente pour cette interopérabilité est MLS — le même protocole qu’utilise RCS 2.4. Il existe un futur proche plausible où l’écosystème de messagerie chiffrée devienne véritablement interopérable, avec différentes applications communiquant de manière sécurisée via une couche de protocole commune.
Pour l’instant, le conseil pratique est simple : si vous utilisez Google Messages sur Android et l’application Messages intégrée sur iPhone, et que les deux sont à jour, vos messages multiplateformes sont chiffrés. C’est un changement significatif par rapport à il y a six mois. Ce n’est pas une raison pour supprimer Signal — mais c’est une raison pour cesser de traiter chaque texte comme une communication intrinsèquement publique.