C’est une affaire qui fait couler beaucoup d’encre depuis le 24 mars 2025. De hauts responsables américains ont discuté de plans militaires hors des canaux officiels, depuis l’application de messagerie instantanée Signal. Pire encore : ils n’avaient pas remarqué qu’ils avaient aussi ajouté un journaliste dans la boucle de discussion.
L’affaire fait l’objet d’une bombe aux États-Unis. Elle pose des questions de crédibilité pour l’administration Trump. Pour l’opposition, c’est du pain bénit. Elle a aussi interrogé en périphérie la sécurité de Signal. Mais dans cette histoire, l’application mobile apparaît hors de cause. Le problème n’est pas la messagerie : c’est l’imprudence des membres du groupe.
C’est quoi, le chiffrement de bout en bout ?
Il faut savoir que Signal est une application mobile pour Android et iOS — mais il existe aussi une déclinaison pour ordinateur (Windows, Mac et Linux). Plus exactement, c’est une messagerie sécurisée qui fournit du chiffrement de bout en bout. Derrière ce jargon se cache en fait une méthode très efficace pour assurer la confidentialité des discussions.
Un indice de sa très grande qualité sur le plan de la protection des échanges est que Signal est l’application de référence d’Edward Snowden, le lanceur d’alerte américain qui en 2013 a révélé au monde entier les activités top secrètes de la NSA en matière de surveillance en ligne. Or, l’une des méthodes pour contrer l’espionnage de masse consiste à se servir du chiffrement, surtout quand il est de bout en bout.
Le principe du chiffrement de bout en bout (end-to-end encryption en anglais, ou E2EE) consiste à agir pour que seuls les membres d’une même discussion puissent accéder à son contenu — qu’il s’agisse de textes, de sons, de vidéos, d’images ou de fichiers quelconques. Avec cette protection, même l’éditeur de Signal (la fondation Signal, une association à but non lucratif), ou le fournisseur d’accès à Internet ne voit rien.
Une application de messagerie instantanée très sécurisée
Le protocole utilisé par Open Whispers System pour sécuriser Signal est très réputé, à tel point d’ailleurs qu’il est repris dans des services extrêmement populaires, comme Skype, WhatsApp, Facebook Messenger et Google Messages.Des organisations ou personnalités reconnues en chantent aussi les louanges, comme l’Electronic Frontier Foundation ou bien Christopher Soghoian.
La première est une puissante organisation américaine de défense des libertés dans l’espace numérique (elle cite Signal dans son guide d’auto-défense contre la surveillance). Le second est un chercheur en sécurité informatique et responsable du projet « liberté d’expression, respect de la vie privée et technologie » au sein de l’Union américaine pour les libertés civiles, en a aussi dit beaucoup de bien.
Aujourd’hui, il n’existe pas de preuve montrant que le protocole Signal est vulnérable. Cela ne veut pas dire qu’il propose une protection pure et parfaite : son but premier est de contrer la surveillance de masse, c’est-à-dire la captation indiscriminée d’échanges non sécurisés. Si votre smartphone est déverrouillé, quelqu’un peut vous le prendre des mains et ouvrir Signal, par exemple.
Sans aller jusqu’à ces extrémités, une garde à vue et une procédure judiciaire à votre encontre suffisent à accéder à Signal. Comme le pointe un officier de gendarmerie, refuser de communiquer le code de déverrouillage de son téléphone à la demande d’un officier de police judiciaire peut être constitutif d’une infraction en France. Ce n’est ici pas un souci de faiblesse du protocole. C’est un problème de droit.
Un cas d’usage peut être observé avec la Commission européenne : en début d’année 2020, il a été annoncé que Bruxelles a recommandé à son personnel de se servir de Signal pour discuter avec des personnes extérieures à l’institution, afin de relever le niveau de sécurité des communications. Toutefois, pour ce qui est des échanges très sensibles, ce sont des canaux spécifiques qui sont privilégiés.
Telegram, WhatsApp… : Signal fait « mieux » que ses concurrents
Les éloges adressés par Edward Snowden, Christopher Soghoian ou bien l’Electronic Frontier Foundation ne viennent pas de nulle part. Dans un certain nombre de travaux et de comparatifs, Signal fait aussi bien, voire mieux que d’autres solutions concurrentes. Il y a bien sûr l’évaluation du chiffrement de bout en bout, mais aussi d’autres critères, comme l’ouverture du code source, la décentralisation ou la nationalité.
Signal ne marque pas systématiquement le maximum de points dans chaque catégorie. Mais pour une application qui se veut conviviale et utilisable, c’est-à-dire en reprenant des fonctionnalités populaires utilisées par la concurrence, elle réussit souvent à très bien s’en tirer : c’est ce que montrent les tableaux de Secure Messaging Apps Comparison, qui juge des applications sur des critères très techniques, et de Quarkslab.
Quarkslab est une entreprise française spécialisée dans la sécurité informatique — elle est un centre d’évaluation reconnu par l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, qui est en quelque sorte le cyber-garde du corps de l’État. Dans un tableau de l’EFF, qui n’est plus à jour, Signal s’en tirait aussi avec la note maximale. Il n’y en avait pas beaucoup qui était au même niveau.
Autre illustration, les travaux menés en mars 2017 par Florian Maury, un ex-ingénieur de l’ANSSI. Dans un papier intitulé Chiffrement de messagerie quasi instantanée : à quel protocole se vouer ?, il explore les mécanismes cryptographiques et en les confrontant dans une étude comparative. Signal n’est certes pas le plus à son avantage, mais c’est loin d’être le pire.
Signal n’est donc pas parfait — ce que rappelait La Quadrature du Net en 2018, en faisant observer que par le passé la messagerie « a pendant longtemps requis que les services Google soient installés sur le téléphone » (ce n’est plus le cas aujourd’hui). Cela étant, ses vertus en matière de protection de la vie privée sont telles qu’elles compensent largement les quelques accommodements constatés.
Enfin, force est de constater que son mode de financement (une organisation à but non lucratif), son caractère open source, ses choix techniques (E2EE par défaut), une conception qui favorise by design la confidentialité, ses modes plus avancés (comme les messages éphémères) et sa commodité d’emploi sont autant de signaux encourageants.
Et en plus, elle se prépare même ) l’ère de la cryptographie post quantique, en adoptant des protocoles d’un nouveau genre. Une bonne nouvelle de plus, cela pour garantir toujours un haut degré de protection aux échanges, même face aux aux attaques que pourraient permettre les ordinateurs quantiques.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !
