Depuis les révélations d’Edward Snowden sur les programmes de surveillance de masse des agences de renseignement américaines, en 2013, la question de la sécurité et de la confidentialité des échanges est devenue centrale. En l’espace de dix ans, d’ailleurs, de nombreuses plateformes se sont emparées du sujet pour annoncer des progrès dans la protection de la vie privée.
Dans ce contexte, une formule revient souvent : le chiffrement de bout en bout, ou end-to-end encryption (E2EE) en anglais. Il s’agit de la mesure de protection la plus aboutie, car elle sécurise les communications sur l’appareil d’abord, avant de circuler sur le net et de passer sur les serveurs du service. Mais son activation se fait parfois au détriment d’autres fonctionnalités, qui ont leur intérêt.
Concrètement, le chiffrement de bout en bout passe par des calculs mathématiques complexes, pour protéger le contenu d’une discussion. Grâce à un protocole, qui peut être ouvert ou non, les données sont cachées dans des caractères qui paraissent n’avoir ni queue ni tête. Pour les lire, il faut posséder une clé spéciale (et secrète). Sans elle, il est en principe impossible de les déchiffrer.
Quelles sont les plateformes qui aujourd’hui proposent du chiffrement de bout en bout ? Par défaut, en option ou pas du tout ? La question est brûlante, car derrière il y a des enjeux de sécurité et de vie privée. En principe, avec le chiffrement de bout en bout, même le fournisseur d’accès à Internet, le prestataire du service ou bien un tiers quelconque ne peut rien voir.
Quelles sont les messageries sécurisées ?
Les applications de messagerie incluent des procédés pour élever le niveau de sécurité et de confidentialité des discussions qui ont lieu sur leur plateforme. Les mesures prises incluent généralement un chiffrement des conversations en transit, c’est-à-dire lorsque les messages et les fichiers circulent sur le net. On trouve aussi du chiffrement au repos, à savoir sur les serveurs.
Reste enfin la question du chiffrement de bout en bout, qui désigne les moyens de protéger les échanges directement entre les correspondants. Ici, l’idée est d’avoir un canal sûr, à travers lequel le fournisseur d’une messagerie sécurisée n’a pas de prise. Autrement dit, il ne peut pas ouvrir les messages et en comprendre la teneur. C’est sur ce point que cet article s’attarde.
Discord : non
Plateforme adulée des joueurs et des joueuses pour discuter à voix haute tout en faisant une partie, Discord fourmille de fonctionnalités : on peut ouvrir des canaux pour discuter par écrit, on peut s’envoyer des fichiers, on peut streamer son écran, écouter de la musique… En comparaison de solutions rivales comme Teamspeak et Mumble, Discord est bien plus convivial.
Mais sur le terrain du chiffrement de bout en bout, Discord fait défaut. C’est un souhait pourtant récurrent des internautes : en 2018, 2019, 2020 et 2021, des requêtes en ce sens avaient été formulées — et ce ne sont que quatre exemples parmi d’autres demandes publiées dans un forum consacré aux suggestions de fonctionnalités.
Discord avait cependant invité les internautes à se mobiliser pour cette fonction, s’ils la désiraient. C’était en 2018, sur Twitter : « Bonjour à tous ! Si vous souhaitez que Discord prenne en charge le cryptage de bout en bout pour les DM, faites-le nous savoir et votez à http://feedback.discordapp.com et nous verrons ce que nous pouvons faire ! ». Visiblement, rien.
Facebook Messenger : en option
C’est un projet qui est prévu en 2023, au plus tôt : le chiffrement de bout en bout sera actif par défaut sur Messenger, le service de messagerie instantanée opéré par Facebook. « Nous prenons notre temps pour bien faire les choses », indiquait fin 2021 Antigone Davis, la responsable en charge de la sécurité chez Meta, la maison mère de Facebook.
Il existe toutefois une fonctionnalité optionnelle qui permet d’ouvrir des discussions chiffrées de bout en bout. Elle s’appelle « conversation secrète ». Il s’agit d’un canal parallèle que vous animez avec votre correspondant, qui est distinct de l’autre canal de discussion que vous aviez déjà avec lui. Comme d’autres applications, Messenger utilise le protocole de chiffrement de Signal.
À échéance, Facebook désire unifier ses différentes plateformes de messagerie pour que l’on puisse indistinctement discuter entre WhatsApp, Messenger et Instagram. Un premier rapprochement a eu lieu entre Messenger et Instagram, mais sans cette fameuse couche de chiffrement. Celle-ci sera incontournable lorsqu’il faudra ajouter WhatsApp dans la boucle.
Google Messages : oui, mais
Google fournit un chiffrement de bout en bout par défaut à toutes les conversations se fondant sur le RCS entre les participants de son application Messages, lorsqu’il s’agit de conversations en tête-à-tête. Attention : cela ne marche pas pour les SMS, les MMS, ainsi que les messages de groupe. L’entreprise américaine le rappelle dans une page de support.
L’accès à cette protection requiert de satisfaire quelques préalables : vous et votre interlocuteur devez utiliser l’application Messages, avoir activé les fonctionnalités de chat, utiliser un réseau de données ou un réseau Wi-Fi pour les messages RCS (Rich Communications Services). Google utilise le protocole de Signal, qui est open source, pour proposer cette sécurité.
Instagram : en option
Comme Messenger, Facebook a lancé un chantier pour généraliser le chiffrement de bout en bout sur Instagram. Arrivée prévue : 2023. En attendant, il existe depuis 2021 une option pour lancer des conversations chiffrées de bout en bout. Un bémol : elle n’est pas encore disponible pour tout le monde, ce qui empêche de s’en servir couramment.
Instagram passe par les mêmes bases techniques que Messenger, à savoir le protocole Signal, que l’on retrouve déjà dans WhatsApp. À terme, Facebook entend faire converger toutes ses messageries, afin que l’on puisse discuter d’un service à l’autre sans se soucier de sa plateforme. Une liaison entre Instagram et Messenger a déjà été faite.
Notez qu’il existe une procédure spécifique, qui existe aussi sur Messenger : si une personne se trouvant dans une conversation chiffrée de bout en bout signale un message, parce que celui-ci serait illicite, le contenu du message signalé ainsi que son contexte sont transmis aux équipes de modération de la plateforme. C’est un juste milieu entre sécurité et confidentialité, juge Facebook.
Line : en option
À partir de 2015, l’application Line a commencé à s’ouvrir au chiffrement de bout en bout à travers une option appelée « lettre cachetée ». Elle a ensuite été généralisée en 2016. Lorsque deux personnes sur Line ont chacune activée cette fonction, alors leur conversation bénéficie automatiquement de cette protection renforcée. À noter : Line fournit un tableau de bord sur le chiffrement.
Cette sécurité est disponible pour des conversations en tête ou de groupe, si elle est activée partout. Elle couvre les messages écrits, les informations de localisation et les appels téléphoniques ainsi que la visiophonie. D’autres fonctionnalités doivent à terme être ajoutées, selon Line. L’option peut aussi fonctionner depuis un PC, mais il faut s’authentifier.
Olvid : oui
Olvid chiffre les conversations de bout en bout par défaut. Pour cela, la société fait appel à la fonction de hachage SHA-256 et l’algorithme de chiffrement par bloc AES-256, ainsi que sur d’autres procédés, à l’image de HMAC pour l’authentification de message. La solution a été jugée suffisamment convaincante pour convaincre le gouvernement français de passer dessus.
Pour l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui veille à la cybersécurité de l’État, ces briques cryptographiques sont considérées comme des solutions viables et robustes pour les utiliser dans des communications internes au gouvernement — si elles ne sont pas hautement sensibles. Dans ce cas, d’autres systèmes prennent le relai.
Signal : oui
Signal chiffre les communications de bout en bout entre deux ou plusieurs individus d’une même conversation. Son protocole est si réputé qu’il est utilisé chez ses rivaux : Google, Skype, WhatsApp, Facebook Messenger. Il est aussi recommandé par des spécialistes en sécurité informatique ou des organisations de défense des libertés dans l’espace numérique.
Aujourd’hui, il n’existe pas de preuve sur une prétendue vulnérabilité du protocole Signal. Cela ne veut pas dire qu’il ne peut pas exister des stratégies d’accès, mais ça ne passe pas par un cassage du chiffrement. Son rôle est de contrer la surveillance de masse, c’est-à-dire la captation indiscriminée d’échanges non sécurisés, et il le fait bien.
Skype : en option
Skype fournit depuis 2018 du chiffrement de bout en bout pour l’ensemble des plateformes sur lesquelles Skype est déployé : Windows, Mac, Linux, Android et iOS. Pour le protocole, Microsoft, qui possède le logiciel de messagerie instantanée et de voix sur IP, a fait appel au savoir-faire d’Open Whisper Systems, dont le code sécurise aussi les échanges sur WhatsApp et Signal.
Une limite, cependant : ce service est réservé aux « conversations privées ». Il n’est pas actif par défaut malgré sa disponibilité générale. Les internautes doivent donc connaître l’existence de l’option et penser à l’activer préalablement avant de lancer une discussion. Les appels téléphoniques, les messages écrits, les images et les fichiers peuvent en bénéficier.
Slack : non
« Par défaut, Slack assure le chiffrement des données en attente et en transit pour tous nos clients », peut-on lire sur la page de Slack dédiée à la sécurité. « En attente » signifie sur ses serveurs. « En transit » désigne les données en train de circuler sur le net, d’un internaute à l’autre, ou entre les serveurs de Slack. Mais de chiffrement de bout en bout, il n’est nullement question.
Cela changera-t-il un jour ? Pas sûr, à en croire des éléments obtenus en 2018 par Motherboard : un ancien employé du groupe a expliqué que ce qui importe la clientèle de Slack, c’est d’avoir accès à des outils de management et d’organisation d’entreprise. Pas tant d’avoir cette couche de sécurité, dont la mise en place pourrait se faire au détriment d’autres fonctions.
Slack est un outil assez différent des autres, puisque son usage se fait avant tout dans un cadre professionnel. Cela ne veut pas dire qu’il n’y a pas de sécurité sur le service. Cependant, elle prend une forme différente (chiffrement du stockage et du trafic, authentification à deux facteurs, clés de chiffrement au niveau de l’entreprise, etc.).
Snapchat : non
Les messages sur Snapchat ne sont pas chiffrés de bout en bout, rappelle Forbes dans un article de mai 2022. Certes, l’application prévoit des messages éphémères, qui sont supprimés au bout d’un bref moment, mais c’est trop peu. Les chiffrements que fournit Snapchat couvrent le stockage des données sur ses serveurs, mais aussi la circulation des messages sur le net.
SMS / texto : non
Les SMS sont encore très utilisés dans le monde. Cependant, c’est l’un des modes de communication les moins satisfaisants en matière de sécurité : pas de chiffrement de bout en bout, des protocoles insuffisamment sûrs, métadonnées bavardes. Et en plus, les SMS n’offrent pas une palette de fonctionnalités aussi large que les applis de messagerie instantanée.
Telegram : en option
Par défaut, Telegram ne fournit pas de chiffrement de bout en bout. Cela ne veut pas dire que les messages ne sont absolument pas protégés. Il y a au minimum du chiffrement en transit, c’est-à-dire une protection lorsque les contenus circulent entre l’utilisateur et le serveur de Telegram. Mais il existe une option qui permet de rehausser le niveau de protection.
Cette couche additionnelle est nommée « échange secret » et c’est elle qui inclut le chiffrement de bout en bout. L’activer n’est certes pas difficile, mais cela nécessite de savoir que l’option existe et de penser à s’en servir — des préalables qui, de fait, freinent son utilisation par le plus grand nombre –700 millions d’utilisateurs actifs mensuels sont revendiqués par le service.
Cette situation (on dit que Signal est plus sécurisé que Telegram) est source de débat depuis des années : faudrait-il que l’appli active par défaut cette option ? Il s’avère que Telegram a fait le choix délibéré de laisser les choses ainsi, non sans arguments. Les menaces au quotidien sont, selon Telegram, pas si élevées pour un individu lambda. Et l’activer par défaut se ferait au détriment d’autres fonctions.
TikTok : non
Le saviez-vous ? TikTok a aussi une messagerie interne, qui permet de discuter avec des contacts. Mais, attention à ce que vous dites dessus : il n’y a pas de chiffrement de bout en bout, rappelle le centre d’aide de l’application mobile. Rien ne permet de dire que cela changera un jour, car la plateforme explique faire face à des enjeux légaux dans les pays où elle opère.
« Le chiffrement de bout en bout n’est pas disponible actuellement. Nous tenons à ce que nos jeunes utilisateurs bénéficient par défaut d’une expérience sécurisée sur TikTok. Comme de nombreuses entreprises, nous conservons la capacité de déchiffrer les données des utilisateurs en réponse à un processus légal valable et pour appliquer nos Consignes communautaires », est-il écrit.
Twitter : non
Le chiffrement de bout en bout sur Twitter est en réflexion depuis pratiquement dix ans — le sujet est arrivé sur la table en 2013, dans le sillage des révélations d’Edward Snowden sur les programmes de surveillance de masse des agences de renseignement américaines. Cette fonctionnalité concernerait uniquement les messages privés et non pas les tweets.
Ce chantier n’a jusqu’à présent jamais été achevé. Il est revenu ponctuellement, en 2016 par exemple, lorsque Edward Snowden, celui par qui les révélations sur les activités de la NSA ont été rendues publiques, a interpellé Jack Dorsey, fondateur et directeur de la plateforme. Il y a également eu des rebonds en 2018 et en 2020, là encore sans concrétisation.
Les choses pourraient changer avec Elon Musk aux commandes. En novembre, le milliardaire a donné un indice en ce sens. Plus récemment, une présentation en interne a mentionné cette fonctionnalité pour les DM, mais aussi pour les appels et la visiophonie — ce qui élargirait au passage l’éventail des services fournis par Twitter.
Viber : oui
Viber fournit du chiffrement de bout en bout depuis la version 6 du logiciel. Cela couvre les conversations en tête-à-tête et de groupe. Pour en bénéficier, il faut que l’application soit bien à jour chez tous les correspondants. Viber n’utilise pas le protocole de chiffrement conçu par Signal, mais il en a repris l’essence, notamment l’algorithme à double ratchet.
Attention : Viber ne fournit pas cette sécurité absolument partout. C’est le cas des canaux ou des communautés, pour ne pas entraver la mise en oeuvre de certaines fonctionnalités — l’affichage de l’intégralité de l’historique de discussion des tchats publics pour les nouveaux membres, par exemple. Idem pour que puissent marcher certains bots utiles.
WeChat : non
L’application chinoise WeChat n’évoque pas de chiffrement de bout en bout dans sa page dédiée à la sécurité des messages, parce qu’elle n’en utilise pas. Certes, elle sécurise les messages envoyés et reçus entre ses serveurs et les appareils de sa clientèle pour éviter leur interception pendant leur transmission sur Internet, mais WeChat est en incapacité de les lire.
WeWhat a plus généralement une mauvaise réputation, en témoigne cet article de la radio publique américaine. Mozilla, qui édite Firefox, se fait encore plus direct , qui pointe un « historique désastreux de WeChat en matière de confidentialité et de sécurité. Pour résumer : nous pensons que la seule façon de protéger votre vie privée en utilisant WeChat est de ne jamais utiliser WeChat. »
WhatsApp : oui
Depuis le printemps 2016, le chiffrement de bout en bout est actif par défaut sur WhatsApp. Cela veut dire qu’en 2022, les communications de 2 milliards d’individus — selon les statistiques de la plateforme — bénéficient d’un excellent moyen pour garantir la sécurité et la confidentialité de leurs échanges. WhatsApp a sans doute été l’un des meilleurs accélérateurs du chiffrement.
La base technique du protocole utilisé par WhatsApp pour chiffrer les échanges est fournie par Open Whisper Systems, une organisation qui s’occupe aussi de sécuriser et développer l’application Signal — un rival de WhatsApp. Le protocole Signal est open source et est très réputé. Google s’en sert, Skype aussi. Des spécialistes en sécurité en vantent régulièrement les mérites.
Wickr : oui, mais
Wickr est une application de messagerie instantanée rachetée par Amazon. L’un de ses points forts ? Elle propose du chiffrement de bout en bout. Hélas, son nouveau propriétaire a décidé de fermer prochainement la version du logiciel pour le grand public. Seules resteront les versions pour les entreprises et pour les administrations.
Wire : oui
Wire est une application de messagerie instantanée qui fournit aussi du chiffrement de bout en bout. Elle utilise un protocole différent de celui de Signal, mais qui fait aussi appel à des caractéristiques proches, comme l’algorithme à double ratchet. En 2019, Wire avait connu une forte médiatisation grâce à Edward Snowden, qui notait que contrairement à WhatsApp, Wire n’appartient pas à Facebook.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !