Avant le boom des applications de messagerie sur Internet, la grande majorité des communications étaient réalisées de façon traditionnelle : par courrier en confiant nos secrets à la Poste ou par SMS en faisant appel aux services des opérateurs téléphoniques.

Avec l’arrivée des réseaux sociaux, bon nombre d’acteurs d’Internet proposent des alternatives aux outils de communication traditionnels. Certains sont clairement une avancée d’un point de vue de la confidentialité, tandis que d’autres consistent simplement à transmettre l’ensemble de sa vie à des agences publicitaires.

Il est important de bien comprendre le fonctionnement de ces applications pour faire les bons choix et utiliser des applications de messagerie qui apportent la meilleure protection. Cela permet d’éviter que toutes les conversations finissent sur la place publique et que des personnes malintentionnées ne les utilisent pour nuire.

Appels téléphoniques et SMS

Les appels téléphoniques et les SMS sont encadrés par les lois françaises et européennes. Les textes prévoient toutefois de nombreuses exceptions et permettent notamment à la justice de demander à ce que le détail des communications d’un abonné lui soit transmis.

Un rapport détaillé est alors soumis par l’opérateur, qui a l’obligation légale de conserver un grand nombre d’informations sur toutes les communications de ses abonnés, que ce soit les appels et les SMS :

« Les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :
- Les informations permettant d’identifier l’utilisateur ;
- Les données relatives aux équipements terminaux de communication utilisés ;
- Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; […]
- Les données permettant d’identifier le ou les destinataires. […]
- Les données […] permettant d’identifier l’origine et la localisation de la communication.
La durée de conservation des données […] est d’un an à compter du jour de l’enregistrement. »

Tout est conservé : à qui vous parlez, à quelle heure, pendant combien de temps mais aussi le lieu où vous vous trouvez et l’équipement que vous utilisez, le tout pendant un an. Le contenu des appels et le contenu des SMS peuvent aussi être consultés si un juge le décide ou si l’Administration le souhaite[1]. Tous les appels et tous les échanges SMS peuvent alors être espionnés en temps réel.

Si l’opérateur de l’abonné peut fournir toutes ces informations, c’est parce qu’il a la capacité technique de le faire, car aucun mécanisme de chiffrement n’est utilisé, contrairement à certaines applications de messagerie.

Chiffrement de bout-en-bout

Pour assurer la confidentialité d’une communication, il est nécessaire d’utiliser une application de messagerie qui propose un chiffrement de bout-en-bout. Un tel chiffrement repose sur des fonctions cryptographiques avancées et permet d’avoir la garantie qu’une personne extérieure à la discussion ne puisse pas consulter le contenu des messages.

La cryptographie est un domaine compliqué qui nécessite beaucoup de compétences et d’expérience pour s’assurer de la fiabilité d’un système. Beaucoup d’applications de messagerie font donc appel aux mêmes outils, prouvés pour leur robustesse. C’est le cas notamment du protocole « Signal », qui est utilisé par l’application de messagerie du même nom Signal[2] ou par l’application WhatsApp[3]. Ce protocole a notamment l’avantage d’être « open-source »[4], c’est-à-dire que les modalités de son fonctionnement sont publiques et peuvent être lues et étudiées par tous ceux qui le souhaitent, notamment les spécialistes.

Logo et copies d’écran de l’application Signal
Exemple de l’application sécurisée Signal sur le Google PlayStore d’Android. © Google

Les applications qui implémentent un chiffrement de bout-en-bout comme celui proposé par le protocole Signal n’ont pas la capacité de déchiffrer les messages de leurs utilisateurs, car la clé permettant d’effectuer cette opération est détenue par l’utilisateur. Cela donne la garantie aux utilisateurs que seuls eux pourront lire leurs conversations.

Pour s’en assurer, le meilleur moyen est probablement d’analyser la façon dont les applications de messagerie répondent aux injonctions des tribunaux, car si elles peuvent noyer le poisson auprès des utilisateurs en utilisant des termes techniques compliqués ou des termes marketing douteux, elles ne peuvent pas prétendre ne rien savoir quand un juge les oblige.

En 2016, un grand jury aux États-Unis a demandé[5] à l’entreprise Open Whisper Systems, créateur du protocole Signal, de fournir les informations qu’elle possédait sur deux utilisateurs de son application de messagerie Signal. Contrairement aux opérateurs téléphoniques traditionnels, les appels et messages échangés sont chiffrés de bout-en-bout. Signal n’a donc pas la capacité de fournir le contenu des échanges de ses utilisateurs. Les deux seules informations qui ont été présentées à la justice étaient la date de création du compte et le date de dernière connexion de l’utilisateur, c’est-à-dire rien de bien utile.

Deux demandes similaires[6][7] ont été faites en 2021 et, de la même manière, seules la date de création du compte et la date de dernière connexion de l’utilisateur ont été communiquées.

Cette opacité des communications n’est cependant pas au goût de tout le monde. Étant dans l’incapacité de « contrôler » les communications de leur population, certains gouvernements prennent la décision de bloquer l’utilisation de ces applications « sécurisées ». L’application Signal a, par exemple, été bloquée, ou est encore bloquée, dans un bon nombre de pays[8].

Avantages et inconvénients d’une communication sécurisée

Pour garantir la confidentialité des échanges, les applications de messagerie « sécurisées » ne doivent pas être en mesure de consulter le contenu des échanges de leurs plateformes. Cela à l’avantage de :

  • protéger les utilisateurs et leur garantir que leurs communications ne sont pas écoutées à leur insu ;
  • protéger l’organisme en charge de l’application, qui ne peut pas, de sa propre volonté ou sous la contrainte, espionner ses utilisateurs.

Il existe néanmoins des inconvénients. L’inconvénient majeur pour les utilisateurs est souvent de ne pas pouvoir récupérer l’historique des messages, étant donné que l’application ne possède pas le contenu des messages ou n’a pas la capacité à les déchiffrer. Cela peut être particulièrement gênant lorsque l’utilisateur casse ou perd son appareil. Certaines applications de messagerie comme iMessage d’Apple proposent toutefois la possibilité de synchroniser les messages sur leurs serveurs en utilisant iCloud. Cette option a cependant pour conséquence de communiquer tous les messages à l’entreprise et réduit donc la confidentialité à zéro[9].

Copie d’écran d’un iPhone avec l’option « Sauvegarde iCloud » désactivée
Les messages et iMessage sauvegardés vers iCloud ne sont pas chiffrées de bout-en-bout. © Apple

C’est également le cas pour l’application WhatsApp de Facebook si la sauvegarde des messages sur Google Drive est activée.

Copie d’écran de l’application WhatsApp qui propose de sauvegarder les discussions
Les messages WhatsApp sauvegardés vers GoogleDrive ne sont pas chiffrés de bout-en-bout. © WhatsApp

Ces fonctionnalités de sauvegarde ne doivent, par conséquent, pas être utilisées, sous peine de perdre les avantages du chiffrement.

Métadonnées et financement

Si l’application Signal n’est pas en mesure de communiquer d’autres informations que la date de création de l’utilisateur et la date de dernière connexion, c’est parce qu’elle conserve uniquement ces données. D’autres informations techniques, appelées « métadonnées », transitent cependant par ses serveurs pour assurer l’acheminement des messages et des appels. Les créateurs de Signal ont fait le choix de ne pas conserver ces métadonnées pour le bien de ses utilisateurs et parce que son statut de fondation à but non lucratif[10], financée par les dons[11], ne les obligent pas à devoir tirer profit de leurs opérations. Tout le monde peut d’ailleurs utiliser gratuitement l’application, que ce soit à titre personnel ou professionnel.

D’autres applications éditées par des entreprises commerciales, comme WhatsApp ont fait un choix différent.

À ses débuts, WhatsApp demandait une contribution annuelle de $1 à ses utilisateurs pour se financer et payer les infrastructures. L’application est ensuite devenue gratuite[12] suite à son rachat par Facebook en 2014 pour la coquette somme de 19 milliards de dollars[13]. Si Facebook a réalisé l’opération qui reste encore à ce jour l’acquisition la plus chère de son histoire, c’est que son intérêt est ailleurs. Avec les années, nous savons maintenant que l’objectif de Facebook est de collecter le maximum d’informations sur ses utilisateurs en leur proposant des services gratuits comme Messenger ou Instagram. WhatsApp est simplement une brique supplémentaire à son empire lui permettant d’accroître encore davantage sa domination. On ne peut donc que se soucier lorsque Facebook annonce vouloir échanger davantage d’informations entre son application Whatsapp et sa maison mère Facebook, ou avec des entreprises désireuses d’intégrer l’écosystème.

Pour connaître le type de métadonnées que WhatsApp/Facebook collecte, le règlement européen RGPD permet aux internautes de demander les données personnelles qu’une entreprise possède sur eux.

Copie d’écran de la fonctionnalité permettant d’exporter un rapport d’information dans l’application WhatsApp
Exporter les informations personnelles que l’application WhatsApp collecte. © WhatsApp

Après avoir fait la demande personnellement, un document contenant l’ensemble de ces données est envoyé après trois jours. Ce document contient : la date et heure de la dernière connexion, la dernière adresse IP utilisée, le type d’appareil utilisé (fabriquant et modèle de l’appareil), la photo de profil, la liste des numéros de téléphone des contacts, le nom des groupes auxquels l’utilisateur appartient, le nom de l’opérateur, et d’autres informations plus techniques. Si on peut se réjouir que le contenu des messages ne soit pas inclus, il est important de noter que l’adresse IP est conservée et permet de localiser précisément une personne, et que le nom des groupes n’est pas une information chiffrée.

Nul n’est parfait

L’application Signal n’est pas parfaite et tout comme WhatsApp, qui avait de bonnes intentions à ses débuts pour finalement vendre son âme au diable, rien ne garantit que Signal prenne une tel virage dans le futur.

La nécessité de posséder un numéro de téléphone peut aussi être un frein pour certaines personnes soucieuses d’être entièrement anonymes.

Aussi, les puristes reprocheront à Signal le fait que son mode de fonctionnement ne soit pas fédéré mais centralisé, c’est-à-dire que l’ensemble des opérations transitent par les serveurs de Signal. L’inconvénient principal est que le fonctionnement du système repose uniquement sur le fonctionnement des serveurs de Signal et s’ils s’avéraient être indisponibles, toutes les communications seraient interrompues. D’autres solutions existent, comme les applications utilisant le protocole fédéré Matrix[14] sur lequel le gouvernement français a misé, mais ces solutions nécessitent encore un peu de maturité pour être utilisable facilement par le grand public.

L’application Signal reste la meilleure option à ce jour..

La popularité de Signal

Un des freins majeurs à l’adoption d’une application de messagerie par le grand public est sa popularité, car il y peu d’intérêt à utiliser une application que ses amis ou collègues n’utilisent pas. Les récentes annoncent de Facebook concernant le changement des conditions d’utilisation de son application WhatsApp et son intention de l’ouvrir à des tiers a cependant fait le bonheur de Signal, qui a vu son utilisation exploser[15]. Les tweets du très populaire Elon Musk[16] a aussi contribué à cet engouement, comme celui du célèbre lanceur d’alerte Edward Snowden[17], qui a indiqué avec humour que la raison qui prouve que Signal permet réellement de communiquer de façon confidentielle est qu’il est encore en vie.

Facebook, soucieux de conserver sa mine d’or WhatsApp et d’arrêter l’hémorragie, s’est empressée d’acheter le mot clé Signal sur l’AppStore[18] pour qu’une publicité de son application soit affichée en premier, preuve que les choses changent.

Copie d’écran d’une recherche du terme « signal » dans le playstore avec une publicité pour l’application Facebook Messenger en premier
Facebook achète le mot clé « signal » sur le PlayStore d’Android (source : @signalapp).

Pour y voir plus clair

Les applications de messagerie suivantes permettent-elles de communiquer avec un chiffrement de bout-en-bout ?

  • Signal ? Oui, et les messages peuvent même être éphémères avec une durée de vie de 1 jour ou 1 semaine par exemple.
  • WhatsApp ? Oui, si la sauvegarde des messages sur Google Drive est désactivée par les deux personnes (et si l’utilisateur accepte de donner davantage de pouvoir à Facebook).
  • iMessage ? Oui, si la sauvegarde iCloud est désactivée par les deux personnes et si les deux personnes possèdent un appareil Apple.

Les applications de messagerie suivantes ne permettent pas de communiquer avec un chiffrement de bout-en-bout :

  • les appels téléphoniques ;
  • les SMS ;
  • Facebook Messenger[19], sauf les conversations secrètes ;
  • Telegram, sauf les conversations secrètes entre deux individus ;
  • les messages sur Instagram ;
  • les DMs sur Twitter ;
  • Skype.

Le cas de l’application Olvid

Une application française appelée Olvid a vu le jour récemment. Elle se différencie en chiffrant non seulement les communications, mais également les métadonnées, chose que les autres applications populaires ne proposent pas.

Étant donné la jeunesse de cette implémentation et bien que le protocole a reçu une accréditation de l’ANSSI[20], il est probablement plus sage d’attendre que l’implémentation prenne un peu de maturité et que l’ensemble des acteurs ait pris le temps de l’analyser de près. Il faut néanmoins garder à l’esprit que Olvid est éditée par une entreprise commerciale, dont l’objectif est, par définition, de générer un profit, contrairement à Signal. Son utilisation est d’ailleurs payante pour les entreprises et pour les particuliers désireux de passer des appels audios[21].

Aussi, pour démarrer une conversation avec quelqu’un, il est nécessaire de créer un QRCode, qui doit être communiqué à son interlocuteur d’une façon ou d’une autre. Une fois cette étape passée, les deux interlocuteurs devront s’échanger des codes à 4 chiffres pour s’assurer que le QRCode envoyé précédemment n’a pas été altéré par un tiers. Ces codes doivent être, eux, communiqués par un média sécurisé (en face-à-face ou par Signal ?!). Tout ce processus est d’autant plus laborieux qu’il faudra le répéter pour tous les contacts.

Copie d’écran de l’application Olvid où il est demandé de partager son code avec son interlocuteur et de saisir celui qu’il nous donne en retour
Exemple d’un échange de code sous l’application Olvid. Contrairement à ce qu’ils conseillent, n’échangez pas vos codes par un appel téléphonique. © eWatchers.org

Il est très difficile de modifier les habitudes des utilisateurs, surtout si la technologie utilisée est compliquée. Il est donc très peu probable que les néophytes adoptent une telle solution. Puis, si les utilisateurs finissent par s’échanger leurs codes par SMS, l’intérêt est nul. Enfin, tout semble indiquer que l’architecture d’Olvid soit centralisée, ce qui n’est pas donc pas une avancée par rapport à Signal.

Utilisez Signal.

MAJ du 06/05/2021 : ajout de la réponse de Signal à la demande du grand jury de Californie et ajout d’un post de Facebook indiquant que Messenger ne sera pas chiffré de bout-en-bout avant, au moins, 2022.

MAJ du 02/11/2021 : ajout de la réponse de Signal à la demande du tribunal de Califormie du 05/10/2021.

Notes et références

  1. L’Administration française peut réaliser des écoutes téléphoniques.
  2. L’application Signal est téléchargeable gratuitement sur iOS et Android.
  3. L’application WhatsApp utilise le protocole Signal (source : Signal, avril 2016, en anglais) et propose le chiffrement de bout-en-bout à ses utilisateurs (source : WhatsApp, en anglais).
  4. Le code source des applications éditées par Signal est consultable sur GitHub.
  5. Un grand jury aux États-Unis demande à Signal en 2016 de lui communiquer les données qu’il possède sur un de ses utilisateurs (source : Signal, octobre 2016, en anglais).
  6. Un grand jury de Californie, aux États-Unis, demande à Signal, le 29 mars 2021 de lui communiquer les données qu’il possède sur un de ses utilisateurs. Seules la date de création du compte et la date de dernière connection sont communiquése (source : Signal, mars 2021, en anglais).
  7. Un tribunal de Californie, aux États-Unis, demande à Signal, le 5 octobre 2021, de lui communiquer les données qu’il possède sur un de ses utilisateurs. Seules la date de création du compte et la date de dernière connection sont communiquése (source : Signal, octobre 2021, en anglais).
  8. Amazon demande à l’application Signal de ne plus utiliser ses services AWS pour contourner les mesures de blocages de certains pays (source : Signal, mai 2018, en anglais).
  9. Les sauvegardes iCloud ne sont pas chiffrées de bout-en-bout (source : Apple). Les iMessage inclus dans les sauvegardes iCloud ne sont pas non plus chiffrés de bout-en-bout (source : Apple).
  10. Signal est une fondation à but non lucratif (source : Signal, février 2018, en anglais).
  11. La fondation Signal est financée principalement par un don, déguisé sous un prêt à taux-zéro et à échance lointaine de $105 millions, effectué par Brian Acton, créateur de WhatsApp ET de Signal.
  12. WhatsApp annonce en juin 2014 que son application est désormais gratuite (source : WhatsApp, janvier 2016, en anglais).
  13. L’application WhatsApp a été rachetée par Facebook en 2014 pour un montant de 19 milliards de dollars (source: Facebook, février 2014, en anglais).
  14. La France mise sur la technologie Matrix (source : Matrix, avril 2018, en anglais).
  15. Signal annonce sur Twitter que les téléchargements de son application explosent (source : @SignalApp, en anglais).
  16. Elon Musk incite les utilisateurs à utiliser l’application Signal (source : @ElonMusk, en anglais).
  17. Edward Snowden dit que le fait qu’il soit encore vivant est une bonne preuve de l’efficacité de l’application Signal (source : @Snowden, en anglais).
  18. Facebook achète le mot clé Signal sur l’AppStore de Apple pour qu’une publicité soit affichée lorsque les utilisateurs cherchent l’application Signal (source : @SignalApp, en anglais).
  19. Facebook annonce ne pas être en mesure de proposer un chiffrement de bout-en-bout à ses utilisateurs avant 2022, au plus tôt (source : Facebook, avril 2021, en anglais).
  20. L’application Olvid est certifiée par l’ANSSI (source : ANSSI).
  21. L’application Olvid propose des offres payantes pour les entreprises et pour les particuliers souhaitant passer des appels audios.

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données
  • ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information