Bonnes pratiques

Les messageries chiffrées : Signal, WhatsApp et les autres

person

Par Surf Sûr

messageries-chiffrees.png

Image générée par IA1

On s’envoie des messages toute la journée. Des “tu ramènes du pain ?”, des photos de chat, des coordonnées bancaires griffonnées à la va-vite, des confidences qu’on ne dirait jamais à voix haute dans le métro. Et pourtant, presque personne ne se pose la question : qui peut lire tout ça ?

Spoiler : ça dépend énormément de l’application que vous utilisez. Et la réponse est parfois beaucoup moins rassurante qu’on ne l’imagine.

Installez-vous confortablement, je vous explique tout. Promis, sans jargon (ou alors je le traduis tout de suite).

Le SMS : une carte postale, pas une lettre

Commençons par le bon vieux SMS, celui qui existe depuis les années 90. Quand vous envoyez un SMS, votre message voyage en clair à travers le réseau de votre opérateur (Orange, SFR, Free…). En clair, ça veut dire : lisible. L’opérateur peut techniquement voir le contenu, et il le conserve un certain temps.

L’image que j’aime utiliser, c’est celle de la carte postale. Quand vous envoyez une carte postale de vacances, tout le monde peut la lire : le facteur, le voisin, n’importe qui entre vous et le destinataire. Ce n’est pas grave pour “il fait beau, bisous”, mais vous n’écririez pas votre code de carte bleue dessus.

Le SMS, c’est ça. C’est pratique, ça marche partout, mais ce n’est pas confidentiel.

À l’opposé, ce qu’on cherche, c’est l’équivalent d’une lettre dans une enveloppe scellée que seul le destinataire peut ouvrir. Et là, on entre dans le monde du chiffrement.

Le chiffrement de bout en bout, c’est quoi au juste ?

C’est la suite logique de l’article de la semaine dernière : le chiffrement expliqué simplement.

Le terme qui revient partout, c’est le chiffrement de bout en bout (en anglais end-to-end, qu’on abrège souvent en E2E). Derrière ce nom un peu intimidant se cache une idée toute simple.

Pour rappel, chiffrer un message, c’est le transformer en charabia illisible grâce à une sorte de cadenas mathématique. Seul celui qui possède la bonne clé peut le remettre dans son état d’origine.

“De bout en bout”, ça précise se trouvent les clés. Le message est verrouillé sur votre téléphone et ne peut être déverrouillé que sur celui de votre destinataire. Entre les deux, il voyage sous forme de charabia.

Le point crucial, celui que beaucoup de gens ne réalisent pas : même l’entreprise qui fournit l’application ne peut pas lire vos messages. Elle transporte l’enveloppe scellée, mais elle n’a pas la clé pour l’ouvrir. Si la police lui demande le contenu de vos conversations, elle ne peut techniquement pas le fournir, parce qu’elle ne l’a tout simplement pas.

Deux smartphones reliés par un tunnel de lumière sécurisé en forme d'enveloppe scellée et cadenassée

Le chiffrement de bout en bout : un tunnel scellé entre votre téléphone et celui de votre destinataire, que personne ne peut ouvrir au passage. Image générée par IA

C’est un peu le même principe que le petit cadenas qui s’affiche dans votre navigateur, dont je vous parlais dans l’article sur les communications chiffrées sur le web (HTTPS) : personne entre les deux extrémités ne peut lire ce qui passe.

Voilà toute la différence avec le SMS : la carte postale d’un côté, l’enveloppe scellée et incrochetable de l’autre.

Tour d’horizon honnête des messageries

Maintenant qu’on a les bases, faisons le tour des applications les plus courantes. Et je vais être honnête, y compris sur leurs limites.

Signal : la référence

Si je devais n’en recommander qu’une, ce serait Signal. C’est la référence en matière de confidentialité, et il y a de bonnes raisons à ça :

  • Le chiffrement de bout en bout est activé par défaut, pour absolument toutes les conversations. Vous n’avez rien à configurer.
  • L’application en collecte très peu sur vous. Pas de profil publicitaire, pas de revente de données.
  • Elle est développée par une fondation à but non lucratif, financée par des dons. Son modèle économique ne repose pas sur l’exploitation de vos informations.

Cerise sur le gâteau : le fameux protocole de chiffrement qui sécurise Signal est considéré comme l’un des meilleurs qui existent. À tel point que d’autres applications l’ont adopté… y compris WhatsApp.

WhatsApp : chiffré, mais surveillé du coin de l’oeil

WhatsApp, c’est l’application que tout le monde a. Et bonne nouvelle : vos messages y sont bel et bien chiffrés de bout en bout par défaut, justement grâce au protocole emprunté à Signal. Le contenu de vos conversations est donc bien protégé.

Alors où est le piège ? Il est ailleurs. WhatsApp appartient à Meta (la maison-mère de Facebook et Instagram). Et si Meta ne peut pas lire le contenu de vos messages, l’entreprise exploite en revanche tout ce qu’il y a autour : qui vous parlez à qui, à quelle heure, à quelle fréquence, depuis quel téléphone… Ce sont les fameuses métadonnées, et on va voir juste après pourquoi elles sont loin d’être anodines.

WhatsApp reste infiniment mieux qu’un SMS. Mais pour des échanges vraiment sensibles, ce n’est pas mon premier choix.

Telegram : le piège du faux ami

Attention, voici le malentendu le plus répandu. Beaucoup de gens croient que Telegram est une messagerie ultra-sécurisée. C’est en grande partie une légende.

Par défaut, les conversations Telegram ne sont PAS chiffrées de bout en bout.2 Vos messages sont chiffrés entre votre téléphone et les serveurs de Telegram, mais sur ces serveurs, l’entreprise peut techniquement y accéder. On revient à une situation proche de la carte postale rangée dans un tiroir verrouillé : ce n’est pas l’enveloppe scellée qu’on imaginait.

Le chiffrement de bout en bout existe bien sur Telegram, mais uniquement dans un mode spécial appelé “discussions secrètes” (Secret Chats), qu’il faut activer manuellement, conversation par conversation, et qui ne fonctionne pas pour les groupes. Autant dire que presque personne ne l’utilise.

Telegram a d’excellentes qualités (les groupes géants, les canaux…), mais si vous le choisissez en pensant protéger votre vie privée, vous vous trompez de porte.

iMessage : le confort entre iPhone

Si vous êtes dans l’univers Apple, iMessage (les bulles bleues de l’application Messages) chiffre de bout en bout vos échanges… entre appareils Apple. iPhone vers iPhone, c’est protégé.

Le bémol : dès que vous écrivez à quelqu’un sous Android, iMessage bascule en SMS classique (les bulles passent au vert). Et là, retour à la carte postale, sans aucun chiffrement de bout en bout. Le confort ne fonctionne donc qu’à l’intérieur du jardin Apple.

Et le RCS, successeur du SMS ?

Vous avez peut-être entendu parler du RCS, présenté comme le SMS nouvelle génération (accusés de lecture, photos en meilleure qualité, etc.). C’est un progrès, et selon les cas il peut être chiffré de bout en bout. Mais ça dépend des opérateurs, des téléphones et des applications utilisées des deux côtés. C’est mieux que le SMS, mais c’est encore le grand flou. Ne tablez pas dessus pour vos secrets.

Les métadonnées : ce que le contenu ne dit pas, le contexte le révèle

Je vous ai promis qu’on reviendrait sur les métadonnées. C’est sans doute le point le plus sous-estimé de tout cet article.

Une métadonnée, c’est une donnée sur votre message, par opposition au message lui-même. Le contenu, c’est ce que vous écrivez. Les métadonnées, c’est tout le reste : qui parle à qui, quand, combien de fois, pendant combien de temps, depuis où.

Et même quand le contenu est parfaitement chiffré, ces métadonnées en disent énormément. Prenons un exemple imaginaire mais parlant. Imaginez qu’on sache, sans lire un seul de vos messages, que :

  • vous avez appelé un cabinet d’oncologie à 9h ;
  • puis votre conjoint à 9h15, pendant 20 minutes ;
  • puis votre employeur ;
  • puis un proche, tard le soir.

On n’a pas lu une seule ligne, et pourtant on devine à peu près toute l’histoire. C’est exactement pour ça que les métadonnées ont de la valeur, et pourquoi des entreprises s’y intéressent autant. Le contenu, c’est l’enveloppe scellée. Les métadonnées, c’est ce qui est écrit sur l’enveloppe, plus le carnet du facteur qui note chacun de vos courriers.

C’est aussi un sujet que j’avais effleuré à propos des réseaux sociaux et de la vie privée : ce n’est pas toujours ce que vous dites qui vous trahit, c’est parfois juste le fait que vous l’ayez dit, à ce moment-là, à cette personne.

C’est là que Signal se distingue à nouveau : la fondation a fait des efforts particuliers pour en conserver le moins possible. Quand on lui demande des données, elle n’a en pratique presque rien à donner.

Mes conseils concrets

Bon, la théorie c’est bien, mais qu’est-ce qu’on fait, concrètement ? Voici l’essentiel.

  • Pour les échanges vraiment sensibles, privilégiez Signal. Documents administratifs, sujets de santé, mots de passe, confidences : c’est l’option qui protège le mieux le contenu et limite les métadonnées. Et c’est gratuit.

  • Méfiez-vous des réglages par défaut. Sur Telegram en particulier, une conversation normale n’est pas chiffrée de bout en bout. Si vous y tenez, activez une “discussion secrète”. Plus généralement, ne supposez jamais qu’une application est sécurisée juste parce qu’elle en a la réputation : vérifiez.

  • Surveillez vos sauvegardes. C’est un piège discret mais redoutable. Vous pouvez avoir une messagerie parfaitement chiffrée et, à côté, sauvegarder automatiquement tout l’historique de vos conversations dans le cloud sans chiffrement. Résultat : tous vos efforts tombent à l’eau, car la copie de secours, elle, est lisible. Vérifiez les options de sauvegarde de votre messagerie et activez le chiffrement quand c’est proposé. (Sauvegarder, c’est important, j’en parle dans la règle du 3-2-1, mais une sauvegarde mal protégée peut trahir un secret.)

  • Méfiance avec les liens et messages non sollicités. Le chiffrement protège le transport du message, pas son contenu : un escroc peut très bien vous envoyer une arnaque parfaitement chiffrée. Le chiffrement n’a jamais remplacé le bon sens, exactement comme pour le spam.

shield_with_heart Prudence

Aucune application n’est “magique”. Le chiffrement de bout en bout protège vos messages pendant leur voyage, mais si quelqu’un a un accès physique à votre téléphone déverrouillé, il lira tout, peu importe l’application. Un bon code de déverrouillage et un téléphone à jour restent vos premières lignes de défense.

En résumé

On envoie des messages comme on respire, sans réfléchir à qui pourrait les lire. Pourtant, toutes les applications ne se valent pas :

  • Le SMS est une carte postale : pratique, mais lisible par votre opérateur.
  • Signal est la référence : chiffré de bout en bout par défaut, peu de métadonnées, à but non lucratif.
  • WhatsApp chiffre bien le contenu, mais appartient à Meta qui exploite les métadonnées.
  • Telegram n’est PAS chiffré de bout en bout par défaut : il faut activer les “discussions secrètes”.
  • iMessage protège vos échanges, mais seulement entre appareils Apple.

Et n’oubliez jamais les métadonnées : même quand personne ne peut lire vos messages, le simple fait de savoir qui vous parlez à qui, et quand, en raconte déjà beaucoup.

La bonne nouvelle, c’est que protéger ses conversations n’a jamais été aussi simple : il suffit souvent d’installer la bonne application et de jeter un oeil aux réglages. Alors, vous l’installez quand, Signal ? 😉 (Sur l’AppStore pour iPhone et sur Playstore pour Android)

Notes & References

Rédaction assistée par Claude