Depuis Apple et sa promesse de ne jamais déverrouiller l’iPhone jusqu’à Facebook et le chiffrement de WhatsApp, les entreprises commerciales multiplient leurs efforts pour garantir aux utilisateurs la possibilité de discuter ou de stocker des données à l’abri des regards indiscrets.
Par conscience ou par paranoïa, les internautes du monde entier exigent de plus en plus de pouvoir communiquer entre eux sans que les entreprises ou les États ne puissent savoir ce qu’ils se disent. Telegram, qui a fait du chiffrement un argument de poids, compte aujourd’hui plus de 100 millions d’utilisateurs mensuels.
Désormais loin d’être réservé aux plus avertis des internautes ou aux banques, et encore moins aux criminels ou terroristes, le chiffrement devient incontournable et la facilité d’usage est enfin au rendez-vous. Toutefois il est fondamental de garder un esprit critique face aux technologies et aux solutions proposées, car certaines « messageries sécurisées » sont encore loin d’offrir tous les critères d’une sécurité totale.
La première question à se poser est celle de l’accès éventuel aux messages en clair par l’éditeur de la solution de messagerie. Si le chiffrement se fait pendant le transfert, mais que les messages peuvent être lus par l’éditeur qui détient un double des clés, rien ne garantit une confidentialité absolue. D’où l’importance d’un chiffrement de bout en bout.
Ensuite se pose la question de l’accès ou non au code source, qui permet de vérifier les allégations de l’éditeur. Enfin, les messageries n’offrent pas toutes le même niveau de confidentialité, selon qu’elles conservent ou non un historique des métadonnées (qui a contacté qui, quand…).
Tableau récapitulatif des messageries
Voici un résumé simplifié des différentes messageries instantanées :
App | Messsages chiffrés | Pas d’accès par l’éditeur (End-to-End) | Code source publié |
BBM |
? |
? |
? |
? |
? |
? |
|
Messages (iOS) |
? |
? |
? |
Hangouts |
? |
? |
? |
Telegram |
? |
? |
? |
Signal |
? |
? |
? |
Les solutions grand public des géants du Web
Initié par une conscience citoyenne retrouvée après les révélations d’Edward Snowden, doublée par des intérêts commerciaux liés à la réputation fragilisée des entreprises américaines, les géants du web passent progressivement au chiffrement de leurs services. Mais entre les annonces tonitruantes et la réalité technique, il convient de savoir lire entre les lignes, car le niveau de sécurité n’est pas toujours aussi élevé que ce qui a été annoncé.
Point d’étape avec les géants de la donnée.
Blackberry BBM : le chiffrement professionnel
L’affirmation de sécurité a toujours été au cœur de l’écosystème de BlackBerry, l’éditeur canadien ayant mis l’accent sur la confidentialité de ses clients, d’abord professionnels, pour qui ces garanties ont été exigées bien avant l’affaire Snowden. La messagerie instantanée BBM du constructeur est donc chiffrée depuis ses débuts.
Cette dernière possède toutes les qualités d’une messagerie instantanée mobile, des emojis jusqu’aux appels en VoIP. Une alliée performante pour les habitués ou les nostalgiques des BlackBerry.
Les messages sont chiffrés pendant leur transfert et passent par les serveurs de Blackberry. Néanmoins, Blackberry possède une clé maître pour déchiffrer tous les messages des particuliers, qu’il met à la disposition des autorités. Seuls les clients professionnels peuvent protéger leurs messages avec une clé qu’ils sont seuls à détenir. Par ailleurs BBM est une solution propriétaire dont le code source n’a donc pas l’objet d’un audit public.
WhatsApp : Facebook et la confidentialité
En rachetant WhatsApp, Facebook a pris le contrôle de l’une des plus importantes bases d’utilisateurs au monde. Par ricochet, le réseau social lui a aussi permis de devenir une messagerie instantanée de tout premier plan et de connaître un coup d’accélérateur très important dans son développement.
Pour WhatsApp, un des enjeux est de garder intacte sa base d’utilisateurs. Sauf que ces derniers sont de plus en plus tentés de quitter l’application pour des solutions présentées comme plus sécurisées, à l’image de Telegram, ou juste plus tendances, comme Snapchat. Ainsi, depuis le début du mois d’avril, les équipes de WhatsApp ont mis en place un chiffrement de bout-en-bout par défaut sur leur application.
Une solution qui doit permettre de montrer à l’internaute que sa sécurité reste une préoccupation pour la société, et qu’il peut faire relativement confiance à l’outil, puisque le chiffrement de bout-en-bout assure que WhatsApp n’a pas accès au contenu des messages, ni personne d’autre que votre destinataire — sauf si la NSA en a vraiment après vous, ce qui est peu probable. Les messages sont en effet chiffrés de leur point d’expédition jusqu’à leur réception.
En revanche, les méta-données de la messagerie sont conservées et ainsi, il est possible pour Facebook de tout savoir de votre réseau de contacts et de vos habitudes de discussions, et de transmettre ces informations sur demande. Ces données permettent, si ce n’est de connaître le contenu de vos messages, au moins d’en tracer un historique précis. ?
Naturellement propriétaire, la solution de WhatsApp repose sur la confiance que vous avez en Facebook lorsqu’il s’agit de vos données. Ce qui est délicat, vu l’intérêt que peuvent avoir les services de renseignement pour un tel silo à données comme Facebook.
Si vous utilisez Facebook Messenger ou la messagerie d’Instagram, toutes deux propriétés de Facebook, ne comptez pas trouver un chiffrement de bout-en-bout sur ces services. Actuellement le seul chiffrement se fait pendant la transmission et l’historique est conservé sur les serveurs du réseau social.
iMessages : Apple de bout-en-bout
Dans le cadre de la longue affaire Apple / FBI, les médias ont découvert l’étendue des méthodes de chiffrement de la firme du Cupertino. Mais elles n’ont pas attendu le chiffrement des données locales stockées sur les iPhone.
Ainsi iMessage, la fonctionnalité de messagerie instantanée installée par défaut sur iOS et OS X dans l’application Messages, fut l’une des toutes premières à être chiffrée de bout-en-bout. À l’instar de WhatsApp, elle propose ainsi une solution dans laquelle seuls le destinataire et l’expéditeur ont les clés des messages échangés. Toutefois, la messagerie est exclusive à l’écosystème Apple, ce qui oblige les deux interlocuteurs à utiliser un appareil de la firme.
La sécurité devient plus problématique lorsque l’on réalise une sauvegarde de l’historique de messagerie dans iCloud. Bien que le service d’Apple soit chiffré, l’entreprise conserve actuellement la clé qui permet à l’utilisateur d’y accéder. Enfin, le protocole et les technologies propriétaires de la messagerie d’Apple vous demanderont là encore de faire confiance aux promesses d’une entreprise privée.
Google Hangouts : du chiffrement en route
Google Hangouts remplace les autres messageries de Google (Gtalk, Google+) et offre le chiffrement des messages par défaut. Néanmoins, il s’agit exclusivement d’un chiffrement pendant le transport. Google conserve l’accès en clair aux messages échangés.
La messagerie est disponible sur toutes les plateformes mais pour celui qui se soucie de sa vie privée, c’est sans doute vers un autre service qu’il faudra se tourner.
Les messageries sécurisées plus sûres
Si elles ont l’avantage d’être très ergonomiques et d’être très répandues chez les utilisateurs, les messageries précitées ne peuvent pas raisonnablement convenir à ceux qui sont particulièrement soucieux de la confidentialité de leurs échanges. Le mieux est de se tourner vers des solutions libres, open source, dont le code est audité et éprouvé, et peut être exécuté sans conservation des métadonnées.
Loin d’être un détail, l’accessibilité aux sources permet aussi aux communautés de garder en état de marche les processus de chiffrement et de résoudre plus rapidement les failles de sécurité que sur un code propriétaire. Voici donc nos solutions, open source, les plus prudentes.
Telegram, messagerie star
Lancée par les mystérieux frères Durov, qui quittaient alors leur Facebook russe Vkontakte à cause de pressions gouvernementales, l’application Telegram s’est faite une sacrée réputation, tant pour sa sécurité que pour les polémiques qu’elle déclenche.
L’application de messagerie a été visée par de nombreux médias après les attentats terroristes de novembre 2015 à Paris, à cause de sa prétendue notoriété auprès des djihadistes. Loin d’être une application à destination du terrorisme, Telegram est pourtant d’abord une réponse militante des frères Durov aux scandales à répétition sur la surveillance des données.
Installée en Allemagne, la messagerie compte aujourd’hui plus de 100 millions d’utilisateurs mensuels et ne cesse de s’améliorer avec des fonctions de sécurité mais aussi des killer-features qui n’ont rien à envier aux solutions propriétaires.
Ainsi, Telegram fut par exemple à l’avant-garde des chatbots grâce à ses API et à sa grande communauté d’utilisateurs. Le code source de Telegram est bien sûr ouvert et publié sur Github, garantissant un contrôle réel de la qualité du chiffrement.
Toutefois, il est important de noter que Telegram ne chiffre pas par défaut vos messages. Il faudra passer par le mode Secret Chat pour avoir une solution de bout-en-bout totale. À noter que Telegram propose aussi de pouvoir supprimer les messages du terminal de votre destinataire ou de planifier leur disparition.
Signal, la messagerie de Snowden
En un tweet, le lanceur d’alerte Edward Snowden a donné la meilleure publicité possible à Open Whisper Systems, l’ONG qui édite Signal. L’application Signal rassemble deux outils, l’un d’appel en VoIP chiffré (RedPhone) et l’autre de messagerie chiffrée (TextSecure), en une seule application multi-plateformes.
En chiffrant de bout-en-bout tous les messages et en ne conservant aucun historique des utilisateurs, Signal s’illustre par ses qualités en matière de sécurité. Son code, ouvert comme celui de Telegram, vous permettra de vérifier la qualité et la sûreté du programme.
Aujourd’hui moins en vogue que Telegram, Signal s’approche pourtant des fonctionnalités de celui-ci, avec plus de confidentialité par défaut et aucune conservation de métadonnées. Par ailleurs, Signal a sorti une version pour ordinateur, vous permettant ainsi d’accéder à la messagerie chiffrée sans avoir besoin de passer par votre tablette ou votre smartphone.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !