Wire Blog | Europe's Secure Collaboration Platform

Microsoft et le chiffrement de bout en bout : limites et risques pour la sécurité

Rédigé par Wire | 28.08.2025

Le chiffrement de bout en bout (E2EE) est devenu l'étalon-or de la sécurisation des communications numériques. Les géants de la technologie comme Microsoft réagissent en mettant à jour leurs outils qui promettent un "chiffrement de bout en bout", en particulier dans des plateformes comme Microsoft Teams.

Mais qu'est-ce qui se cache réellement derrière ces promesses ? Et surtout, est-ce vraiment suffisant pour les organisations opérant dans des secteurs critiques ou soumises à des réglementations strictes telles que la directive NIS2 ?

Voyons ce que signifie réellement l'E2EE de Microsoft et pourquoi il risque de ne pas répondre aux besoins des organisations soucieuses de leur sécurité.

L'E2EE de Microsoft est extrêmement limité

La documentation officielle de Microsoft confirme que le chiffrement de bout en bout est disponible dans Teams, mais avec des limitations importantes. Il ne couvre que les appels VoIP individuels, ce qui exclut les appels de groupe, les réunions, le chat et le partage de fichiers. En outre, la fonctionnalité n'est pas activée par défaut : les administrateurs informatiques doivent l'activer de manière proactive par le biais des paramètres de stratégie.

Une fois activée, l'E2EE désactive plusieurs fonctionnalités de base :

  • Enregistrement des appels
  • Sous-titrage et transcription en direct
  • Transfert d'appel et mise en attente
  • Dispositifs d'accompagnement

Cela signifie que l'activation du chiffrement se fait au détriment des fonctions de collaboration dont dépendent de nombreuses entreprises. Plus grave encore, les utilisateurs risquent de ne pas savoir si leurs appels sont chiffrés ou non.

Les limites du chiffrement optionnel

Bien qu'elle offre une certaine souplesse, l'approche de Microsoft présente plusieurs risques lorsqu'elle est examinée sous l'angle de la sécurité et de la conformité :

  • Le chiffrement est facultatif : si l'E2EE n'est pas activé par défaut, de nombreux appels se dérouleront sans lui, que ce soit à dessein ou par inadvertance.
  • Sensibilisation imprécise des utilisateurs : il est difficile pour les utilisateurs de vérifier si le chiffrement est actif, ce qui sape la confiance dans la plateforme.
  • Exposition des métadonnées : même lorsque l'E2EE est activé, les métadonnées, telles que qui a appelé qui et quand, restent accessibles, ce qui peut créer des pistes d'information exploitables.
  • Protocole obsolète : Microsoft utilise un ancien protocole appelé Datagram Transport Layer Security (DTLS), qui ne prend pas suffisamment en charge le secret d'acheminement et n'offre pas de sécurité post-compromission, ce qui le place loin derrière des protocoles de pointe tels que MLS.

Pour les organisations régies par des cadres réglementaires stricts tels que NIS2, il s'agit d'une lacune critique. Le chiffrement doit être systémique, robuste et toujours activé par défaut, et non pas une option enfouie dans les paramètres d'administration.

Vous voulez voir comment cela s'aligne - ou non - sur les attentes réglementaires ? Téléchargez notre livre blanc NIS2 pour découvrir ce qu'implique une véritable conformité.

Pourquoi ce n'est pas suffisant pour les infrastructures critiques et les secteurs réglementés

Si votre organisation opère dans des secteurs tels que l'énergie, la finance, les télécommunications ou les services publics, les enjeux sont plus importants. Voici ce dont ces environnements ont généralement besoin :

  • un chiffrement permanent et non optionnel
  • Une couverture de toutes les communications : chat, voix, vidéo et partage de fichiers.
  • Des pistes d'audit infalsifiables pour les enquêtes et les rapports de conformité
  • des canaux de communication de secours et résistants aux crises pour maintenir les opérations pendant les cyberincidents
  • Les principes de la confiance zéro au cœur du dispositif : supposer un compromis, tout vérifier.

Dans des cadres tels que NIS2, la responsabilité au niveau de la direction et les contrôles de sécurité traçables ne sont plus négociables. Microsoft Teams peut convenir à un usage professionnel général, mais son E2EE étroit et optionnel est insuffisant pour protéger les données sensibles.

Redéfinir l'E2EE pour le monde réel

La mise en œuvre du chiffrement de bout en bout par Microsoft semble bonne sur le papier, mais elle est fonctionnellement inefficace. Pour les entreprises qui doivent seulement montrer qu'elles sont en conformité avec les cases à cocher, c'est peut-être "suffisant". Mais pour les besoins réels de l'E2EE, en particulier pour les secteurs critiques, les environnements réglementés ou les organisations sous surveillance géopolitique, l'implémentation de Microsoft est loin d'être sûre.

Le message est simple : le chiffrement de bout en bout n'a d'importance que s'il est universel, robuste, applicable et convivial. Les fonctions optionnelles qui ne fonctionnent que sur un sous-ensemble de communications, utilisent des protocoles obsolètes, rompent la collaboration ou reposent sur une configuration administrative parfaite ne répondront pas aux exigences de la protection des données, de la gestion des risques et de la conformité dans le monde réel.
Voir l'article complet