La mise à jour des conditions d'utilisation de WhatsApp a poussé des millions d'utilisateurs à installer une autre messagerie sur leurs smartphones. Beaucoup se sont tournés vers Signal, l'application conseillée par Edward Snowden, lanceur d'alertes, et Elon Musk, patron de Tesla. Mais pouvez-vous vraiment faire confiance à Signal pour protéger vos conversations? Un spécialiste nous explique les avantages, mais aussi les failles de la messagerie.
Jusqu'à il y a encore quelques semaines, l'application de messagerie Signal était inconnue du grand public. Mais au début de cette année, WhatsApp a mis à jour ses conditions d'utilisation. Parmi les deux milliards d'utilisateurs de la messagerie, une vague d'inquiétude s'est répandue: leurs données seront-elles utilisées par la maison mère de WhatsApp, c'est-à-dire Facebook, à des fins publicitaires? L'entreprise a tenté de rassurer, mais le mal était fait: de nombreuses personnes se sont mises à la recherche d'un autre logiciel.
Edward Snowden, l'ancien employé des renseignements américains qui a dévoilé les programmes de surveillance de masse, a publiquement soutenu Signal. Même chose du côté d'Elon Musk, patron de Tesla et fondateur de PayPal. Même la Commission européenne a recommandé à son personnel d'utiliser la messagerie. Résultat: Signal a été téléchargée 47 millions de fois entre le 4 et le 17 janvier selon Sensor Tower, un institut spécialisé.
Mais pouvez-vous faire confiance à Signal pour protéger vos conversations et vos données? Quels sont les avantages de l'application? Et ses failles? Voici les explications d'Axel Legay, expert en ingénierie informatique, cybersécurité, et professeur à l'UCLouvain.
Le chiffrement de bout en bout: c'est quoi? Est-ce vraiment sûr?
L'avantage le plus mis en avant par Signal, c'est son chiffrement de bout en bout. Un système de communication sécurisé qui est également utilisé par WhatsApp. "Dans toute messagerie, il y a deux entités qui se parlent. Le message passe par un serveur d'échange. Là, il y a un ensemble de failles possibles. Les premières failles sont nos ordinateurs. Quelqu'un peut très bien être en train de tout espionner. Il y a un autre type de faille, c'est tout ce qui se passe sur le canal de communication. C'est comme d'avoir dans la pièce un intrus qui vous écoute", explique Axel Legay.
Le chiffrement de bout en bout rend la conversation indéchiffrable et incompréhensible par un éventuel intrus. "C'est un peu comme si vous aviez quelqu'un qui ne parle que français puis on décide de se parler en chinois. La personne aura beau écouter tout ce que vous dites, elle ne saura rien en faire", illustre l'expert.
Cela dit, vos données peuvent être exposées si votre téléphone est infecté par un virus ou s'il est mal protégé. Le "chiffrement de bout en bout garantit que ce qui est envoyé est chiffré, n'est pas vu par le monde extérieur, jusqu'à ce que vous le receviez. Quand vous l'avez reçu, si vous ne protégez pas vous-mêmes vos données, oui il y a des risques", précise Axel Legay.
Signal donne libre accès à son programme informatique: avantage ou pas?
Un autre élément promu par Signal, c'est le fait que son code informatique est dit "open source". C'est-à-dire qu'il est mis à disposition du grand public. Cela n'est pas le cas pour WhatsApp. "C'est une façon de rassurer les gens, c'est de dire 'Regarde, la plateforme sur laquelle ça tourne, vous pouvez l'auditer vous-même, vérifier qu'il n'y a pas de mouchard, de back door'", indique le professeur de l'UCLouvain.
Signal a été beaucoup auditée par des experts informatiques
Dévoiler le code informatique, est-ce que ça ne met pas en danger la sécurité de nos communications? En réalité non. C'est comme si des spécialistes pouvaient démonter toutes les pièces d'un coffre-fort pour vérifier sa solidité. Vous donnez l'accès au mécanisme, mais la clé reste en votre possession.
Dans le cas de Signal, l'entreprise donne accès au code, mais les clés de chiffrement et de déchiffrement des utilisateurs restent confidentielles. "Signal a été beaucoup auditée par des experts informatiques indépendants. Des gens qu'on peut voir comme des emmerdeurs dont le but est de montrer que ça ne marche pas. Des gens très connus ont vérifié et n'ont rien trouvé", ajoute Axel Legay.
Qui se cache derrière Signal?
L'application a été créée par l'entreprise Open Whisper Systems, aujourd'hui appelée Signal Messenger. La société a été fondée par Moxie Marlinspike. Ce chercheur en sécurité informatique et hacker a travaillé pour Twitter et il est l'un des créateurs du protocole de chiffrement Signal Protocol. Un système adopté par des logiciels majeurs comme WhatsApp ou Facebook Messenger.
Revenons-en à l'entreprise Signal Messenger. Que pense Axel Legay du projet? "Je pense que c'est un projet qui, à la base, est sain. Le but est de rendre un service concret, qui ne tombe pas dans la démagogie publicitaire à outrance. C'est un projet qui est conçu par des puristes en termes d'informatique", réagit le spécialiste.
La société derrière Signal est financée par des fonds d'organisations non-gouvernementales, par des dons, mais aussi par de l'argent venu d'organisations gouvernementales américaines. Est-ce un risque? "Vous me parlez du gouvernement américain. Il y a évidemment toujours un risque d'influence. Il n'est pas négligeable, parce que ces personnes doivent vivre, aussi. Mais ils sont très très durs à corrompre. Je peux le dire pour en fréquenter un certain nombre. Ce sont des gens qui tiennent à leur vie privée, ce sont des puristes en termes de vie privée", répond le professeur de l'UCLouvain.
Serveurs centralisés: une faille?
Au cours de notre conversation, Axel Legay nous précise qu'un problème qui pourrait toucher Signal concerne ses serveurs centralisés. "On est dans des modèles client-serveur. Donc quand vous envoyez quelque chose, ça passe par un serveur, ça n'est pas envoyé directement. Evidemment, si les serveurs tombent, si on fait une attaque sur le serveur, le service n'est plus rendu. Si on ne sait plus se servir de la messagerie, on ira sur une autre, qui sera peut-être moins sécurisée", explique Axel Legay. L'expert précise cependant que même si les serveurs de Signal sont centralisés, ils sont également répliqués pour réduire le risque.
Sous la juridiction américaine
Le fait que Signal soit une entreprise installée aux États-Unis et qu'elle dépend des lois américaines est une autre critique émise contre l'application. Est-ce que cela signifie que les services de renseignements américains pourraient s'en prendre à la société? "Bien sûr que les gouvernements pourraient faire pression pour obtenir certaines informations. Ils l'ont fait avec des sociétés commerciales comme Apple, et on a vu qu'ils n'ont pas obtenu gain de cause. Je pense qu'ils auront difficile d'obtenir gain de cause avec les personnes qui gèrent Signal. Ce sont des hackers, ce sont des gens très têtus. Ce ne sont pas des gens qu'on arrive à corrompre si facilement", s'exprime Axel Legay. "Maintenant vous pouvez toujours en avoir l'un ou l'autre. On n'a jamais une garantie à 100%, peut-être que dans trois mois il y aura un scandale Signal".
Le professeur de l'UCLouvain profite du sujet pour soulever une autre question: pourquoi ce genre de service sécurisé n'est pas fourni en Europe par des organismes européens? "Alors que la plupart des conceptions numériques, les créations numériques, beaucoup se font en Europe. Alors qu'on a tous les moyens pour que ça se passe chez nous. [...] On a des gens si intelligents qui sortent de nos universités. Je crois qu'il faut recentrer le discours, arrêter de critiquer les Etats-Unis, qui profitent d'une opportunité. Et critiquer l'action européenne. Ça manque d'ambition au niveau du numérique", estime Axel Legay.
Popularité: des effets pervers
Suite à la soudaine popularité de Signal, le spécialiste en cybersécurité pointe deux dangers principaux. Le premier concerne le phishing, le hameçonnage. Cela consiste à usurper l'identité d'une personne ou d'une entreprise pour tromper une cible. "Une application qui se présenterait comme une sous-application de Signal et qui vous dirait que c'est vertueux et que c'est sécurisé, téléchargez pour entrer dans Signal. Des gens vont tomber dans ce panneau-là", explique Axel Legay.
Le professeur pointe également la spéculation commerciale qui peut entourer l'application Signal et sa nouvelle célébrité. "Quand Edward Snowden en a parlé, ce n'était pas le cas. Mais avec Elon Musk, qui est un personnage très public, on voit qu'il y a une espèce de bulle qui se crée. Le projet initial, c'est vraiment de garantir la vie privée des gens. Il faut vraiment que ça reste ça", estime notre interlocuteur.
Vos commentaires