Sécurité du RCS : les réponses à vos questions

« Le RCS est-il sûr ? » « Quelle est son utilité ? » « Le RCS est-il une bonne chose ? » « Est-il vraiment sûr ? »

Si vous avez récemment effectué une recherche sur Google ou Reddit concernant la sécurité de la les Rich Communication Services (RCS) messagerie, vous êtes probablement tombé sur ces questions. Avec Le support d’Apple pour le RCS étant en cours de déploiement et avec son interactivité améliorée par rapport aux SMS, le RCS transforme notre façon de communiquer. Et maintenant, Apple s’engageant à offrir le chiffrement de bout en bout pour le RCS dans une prochaine mise à jour iOS, la conversation autour de la sécurité évolue.

Nous avons organisé une session de questions-réponses avec Miriam Liszewski, responsable commerciale des produits RCS chez Sinch, qui possède plus de quatre ans d’expérience chez Google dans l’élaboration de stratégies RCS for Business (anciennement appelé « RBM »). Nous avons posé à Miriam toutes nos questions sur la sécurité de la messagerie RCS et lui avons demandé de répondre à certaines des interrogations les plus courantes sur ses avantages et ses limites.

Miriam Liszewski : De manière générale, le RCS offre une expérience de messagerie plus riche que le SMS – et cela inclut des mesures de sécurité plus robustes. Cela comprend des mesures telles que le chiffrement en transit (c’est-à-dire le chiffrement des données lorsqu’elles se déplacent entre l’appareil d’un utilisateur et les services) et le chiffrement de bout en bout dans certains cas. Cela garantit que les messages restent sécurisés pendant leur transit sur les réseaux.  

RCS for Business partage le même cadre de sécurité que le RCS, mais la solution professionnelle inclut également une couche de protection supplémentaire axée sur la vérification des entreprises, ce qui contribue à établir la confiance entre les entreprises et les consommateurs.

Miriam Liszewski Responsable du produit commercial RCS, Sinch

Ce processus de vérification aide à prévenir le spam et les attaques par hameçonnage, fréquents dans les SMS traditionnels.

ML : Actuellement, le RCS offre un support pour le chiffrement de bout en bout (E2EE) pour la messagerie de personne à personne (P2P) sous certaines conditions. Pour que cela fonctionne, les deux utilisateurs doivent utiliser des appareils compatibles RCS, comme deux appareils Android utilisant Google Messages. Les chats RCS qui sont chiffrés de bout en bout ont quelques indications visuelles.

Mais il ne s’agit pas d’une fonctionnalité standard pour toutes les implémentations du RCS, y compris pour le business messaging. Et c’est parce que le RCS Universal Profile, qui est la norme actuelle de l’industrie pour le RCS, n’avait historiquement pas l’E2EE parmi ses exigences. Du moins, jusqu’à récemment.

Le RCS Universal Profile 3.0, qui n’a été publié qu’en mars 2025, inclut désormais l’E2EE en tant que fonctionnalité de base.

Le chiffrement de bout en bout est désormais supported sur les appareils iOS et Android, garantissant que les messages restent privés et protégés, quelle que soit la technologie de messagerie à partir de laquelle un utilisateur communique.

Miriam Liszewski Responsable du produit commercial RCS, Sinch

Bien qu’Apple n’ait pas fourni de calendrier précis, la société a confirmé que la messagerie RCS chiffrée de bout en bout sera disponible dans une future mise à jour iOS. Selon Tom Van Pelt, directeur technique de la GSMA, cela ferait du RCS le « premier service de messagerie à grande échelle à offrir un support pour une E2EE interopérable entre les implémentations clientes de différents fournisseurs ».

ML : L’annonce récente d’Apple selon laquelle l’entreprise ajoutera l’E2EE pour le RCS dans une future mise à jour iOS marque une avancée majeure en matière de sécurité. Cela signifie qu’une fois l’E2EE implémenté, les chats RCS entre iPhone et appareils Android bénéficieront d’une couche de protection supplémentaire, rapprochant ainsi la sécurité du RCS de celle des applications par contournement (OTT) comme WhatsApp ou iMessage.

_{Dans cette courte vidéo, Miriam explique si les messages RCS sont chiffrés sur Android, entre Android et iOS, et avec RCS for Business.}

Nous savons également que les messages sont chiffrés en transit lorsqu’ils sont transmis par Google.

ML : Le flux de données et l’architecture pour un message RCS for Business suivent un parcours en plusieurs étapes. Laissez-moi vous l’expliquer :

1. Une marque vérifiée crée et envoie un message RCS.
2. Le message est chiffré entre l’agent de l’expéditeur et la plateforme RCS for Business, soit directement, soit via un agrégateur.
3. Lorsque le message atteint la plateforme RCS for Business de Google, il est analysé pour vérifier sa conformité aux conditions d’utilisation (par exemple, pour détecter les malwares et le spam).
4. Tous les messages sont chiffrés en transit entre la plateforme RCS for Business et les utilisateurs finaux.

Google indique que les messages stockés sur ses propres serveurs sont chiffrés au repos afin de pouvoir être synchronisés sur les appareils de l’utilisateur final (s’il possède plusieurs téléphones, par exemple). Les messages stockés ne sont accessibles qu’avec l’identifiant Google de l’utilisateur final, sauf s’ils sont signalés comme spam ou si la loi l’exige. Pour plus de détails, y compris la durée de stockage des différents messages sur différents appareils, consultez la ressource de Google sur la sécurité des données.

Pour plus d’informations sur le fonctionnement du RCS et la manière exacte dont les messages sont envoyés et distribués, consultez notre ressource.

ML : Un utilisateur peut faire un opt-in pour recevoir des messages RCS de la même manière qu’il pourrait faire un opt-in pour recevoir d’autres messages professionnels, comme des SMS. Ils peuvent donner leur consentement en cochant une case de consentement sur un formulaire, par exemple, mais bien sûr, cela diffère selon les régions. Par exemple, aux États-Unis, il existe des règles strictes sur ce qui est considéré comme un opt-in et un consentement explicite, mais d’autres pays pourraient ne pas avoir les mêmes exigences.  

La même chose s’applique pour effectuer un opt-out de la réception de messages RCS. Si un utilisateur répond « STOP » ou demande de retirer son nom d’une liste, une entreprise doit cesser de le contacter. Les entreprises doivent fournir un support pour ces demandes d’opt-out, et Google exige que les entreprises confirment que le consentement opt-in a été obtenu et que des options d’opt-out sont disponibles.

ML : Le RCS intègre des mécanismes pour lutter contre le spam, principalement via son processus de vérification pour les entreprises.

Ce processus de vérification signifie que l’utilisateur peut être assuré que les messages RCS branded qu’il reçoit proviennent d’une entreprise légitime. Puisque les entreprises ne peuvent pas envoyer de messages depuis un agent branded sans avoir été préalablement vérifiées, cela réduit le spam et renforce la confiance de l’utilisateur.

Il convient de noter que Google a donné la priorité à la détection du spam dans le RCS afin de le maintenir comme un canal de confiance. Lors d’une table ronde au Mobile World Congress (MWC) cette année, Josh Pepper, chef de produit chez Google pour RCS for Business, a souligné l’engagement de Google en matière de sécurité. Il a souligné que Google utilise les informations de ses équipes de protection contre le spam Gmail pour améliorer la sécurité du RCS et minimiser les messages indésirables.

_{Hugh Haley, responsable des partenaires, et Robert Gerstmann, évangéliste en chef et cofondateur de Sinch, expliquent comment le RCS aide les marques à protéger leurs clients contre les arnaques et la fraude.}

ML : Cela varie selon les régions, mais ce processus implique plusieurs parties comme les opérateurs, les services de vérification tiers et Google lui-même.

Dans tous les cas, les entreprises doivent demander à être vérifiées lorsqu’elles lancent leur agent RCS. Elles doivent soumettre une pièce d’identité et des informations sur l’entreprise, puis leur candidature est examinée pour s’assurer qu’elles remplissent les critères pour envoyer des messages RCS. La vérification d’une entreprise implique de confirmer qu’il s’agit d’une entreprise légitime et qu’elle respectera les réglementations du secteur.

Le temps de traitement de la demande de vérification d’une entreprise peut varier. Cela prend souvent quelques jours mais, dans certains cas, peut prendre plus de temps.

ML : Là encore, selon la région, cela se fera entre Google et les opérateurs de la région. 

Une fois le processus de vérification approuvé, l’entreprise se voit accorder un statut « vérifié » sur son profil d’expéditeur vérifié, ce qui se reflète dans les messages que les utilisateurs reçoivent.

ML : Si vous regardez comment Google aborde cette question, vous pouvez voir qu’ils s’attendent à ce que toutes les marques et tous les agrégateurs respectent les lois locales et adhèrent aux réglementations en matière de sécurité des données telles que le RGPD et fournissent une politique de confidentialité qui précise comment ils utilisent et/ou partagent les données des utilisateurs finaux. Google affirme être conforme au RGPD. 

La responsabilité de s’assurer de la conformité RGPD incombe à l’entreprise qui envoie les messages, nous vous recommandons donc d’en parler à votre propre équipe afin de comprendre la situation unique de votre entreprise avant de vous lancer dans un nouveau programme de messagerie.

Miriam Liszewski Responsable du produit commercial RCS, Sinch

En matière de sécurité, le RCS offre des fonctionnalités et des mesures de sécurité améliorées par rapport au SMS traditionnel, notamment le chiffrement en transit et avec des profils professionnels vérifiés. Et avec l’engagement d’Apple envers l’E2EE dans une future version d’iOS, cela ouvre la voie à des solutions de business messaging plus sécurisées et dignes de confiance à l’avenir.

Pour les entreprises, adopter un canal de messagerie sécurisé tel que le RCS est une première étape intelligente pour instaurer la confiance avec vos clients. Mais la sécurité ne s’arrête pas là ! Il est crucial de rester informé, de consulter votre équipe et de vous assurer que vos pratiques de messagerie sont conformes aux exigences légales dans toutes les régions où vous opérez.  

Un partenariat avec un fournisseur tel que Sinch peut simplifier ce parcours, en vous offrant des conseils d’experts lors de la mise en œuvre du RCS. Prêt à commencer maintenant ? Contactez notre équipe dès aujourd’hui.  

Ou, si vous avez besoin d’aide pour justifier l’adoption du RCS au sein de votre organisation, téléchargez notre guide complet sur la création d’une analyse de rentabilité pour le RCS.

Auteur: Megan Libby Megan est responsable du marketing de contenu senior chez Sinch. Elle dirige des initiatives de leadership et de contenu sur les thèmes des SMS/MMS, du RCS et de la messagerie omnicanale.