Depuis Snowden, PRISM et le scandale de la NSA, les messageries chiffrées ont le vent en poupe, poussant progressivement les utilisateurs et les sociétés à investir dans un chiffrement accessible et simples. Suivez notre guide et découvrez les messageries sécurisées gratuites disponibles sur Android, iOS et autres.

Depuis Apple et sa promesse de ne jamais déverrouiller l’iPhone jusqu’à Facebook et le chiffrement de WhatsApp, les entreprises commerciales multiplient leurs efforts pour garantir aux utilisateurs la possibilité de discuter ou de stocker des données à l’abri des regards indiscrets.

Par conscience ou par paranoïa, les internautes du monde entier exigent de plus en plus de pouvoir communiquer entre eux sans que les entreprises ou les États ne puissent savoir ce qu’ils se disent. Telegram, qui a fait du chiffrement un argument de poids, compte aujourd’hui plus de 100 millions d’utilisateurs mensuels.

Désormais loin d’être réservé aux plus avertis des internautes ou aux banques, et encore moins aux criminels ou terroristes, le chiffrement devient incontournable et la facilité d’usage est enfin au rendez-vous. Toutefois il est fondamental de garder un esprit critique face aux technologies et aux solutions proposées, car certaines « messageries sécurisées » sont encore loin d’offrir tous les critères d’une sécurité totale.

La première question à se poser est celle de l’accès éventuel aux messages en clair par l’éditeur de la solution de messagerie. Si le chiffrement se fait pendant le transfert, mais que les messages peuvent être lus par l’éditeur qui détient un double des clés, rien ne garantit une confidentialité absolue. D’où l’importance d’un chiffrement de bout en bout.

Ensuite se pose la question de l’accès ou non au code source, qui permet de vérifier les allégations de l’éditeur. Enfin, les messageries n’offrent pas toutes le même niveau de confidentialité, selon qu’elles conservent ou non un historique des métadonnées (qui a contacté qui, quand…).

Tableau récapitulatif des messageries

Voici un résumé simplifié des différentes messageries instantanées :

App Messsages chiffrés Pas d’accès par l’éditeur (End-to-End) Code source publié
BBM

WhatsApp

Messages (iOS)

Hangout

Telegram Secret Chat

Signal

Les solutions grand public des géants du Web

Initié par une conscience citoyenne retrouvée après les révélations d’Edward Snowden, doublée par des intérêts commerciaux liés à la réputation fragilisée des entreprises américaines, les géants du web passent progressivement au chiffrement de leurs services. Mais entre les annonces tonitruantes et la réalité technique, il convient de savoir lire entre les lignes, car le niveau de sécurité n’est pas toujours aussi élevé que ce qui a été annoncé.

Point d’étape avec les géants de la donnée.

Blackberry BBM : le chiffrement professionnel

L’affirmation de sécurité a toujours été au cœur de l’écosystème de BlackBerry, l’éditeur canadien ayant mis l’accent sur la confidentialité de ses clients, d’abord professionnels, pour qui ces garanties ont été exigées bien avant l’affaire Snowden. La messagerie instantanée BBM du constructeur est donc chiffrée depuis ses débuts.

179661-bbmforandroid

Cette dernière possède toutes les qualités d’une messagerie instantanée mobile, des emojis jusqu’aux appels en VoIP. Une alliée performante pour les habitués ou les nostalgiques des BlackBerry.

BBM BlackBerry Limited

Les messages sont chiffrés pendant leur transfert et passent par les serveurs de Blackberry. Néanmoins, Blackberry possède une clé maître pour déchiffrer tous les messages des particuliers, qu’il met à la disposition des autorités. Seuls les clients professionnels peuvent protéger leurs messages avec une clé qu’ils sont seuls à détenir. Par ailleurs BBM est une solution propriétaire dont le code source n’a donc pas l’objet d’un audit public.

WhatsApp : Facebook et la confidentialité

En rachetant WhatsApp, Facebook a pris le contrôle de l’une des plus importantes bases d’utilisateurs au monde. Par ricochet, le réseau social lui a aussi permis de devenir une messagerie instantanée de tout premier plan et de connaître un coup d’accélérateur très important dans son développement.

Pour WhatsApp, un des enjeux est de garder intacte sa base d’utilisateurs. Sauf que ces derniers sont de plus en plus tentés de quitter l’application pour des solutions présentées comme plus sécurisées, à l’image de Telegram, ou juste plus tendances, comme Snapchat. Ainsi, depuis le début du mois d’avril, les équipes de WhatsApp ont mis en place un chiffrement de bout-en-bout par défaut sur leur application.

À lire sur Numerama : WhatsApp cache le contenu, mais il garde toujours les métadonnées du contenant

Une solution qui doit permettre de montrer à l’internaute que sa sécurité reste une préoccupation pour la société, et qu’il peut faire relativement confiance à l’outil, puisque le chiffrement de bout-en-bout assure que WhatsApp n’a pas accès au contenu des messages, ni personne d’autre que votre destinataire — sauf si la NSA en a vraiment après vous, ce qui est peu probable. Les messages sont en effet chiffrés de leur point d’expédition jusqu’à leur réception.

En revanche, les méta-données de la messagerie sont conservées et ainsi, il est possible pour Facebook de tout savoir de votre réseau de contacts et de vos habitudes de discussions, et de transmettre ces informations sur demande. Ces données permettent, si ce n’est de connaître le contenu de vos messages, au moins d’en tracer un historique précis. ?

Naturellement propriétaire, la solution de WhatsApp repose sur la confiance que vous avez en Facebook lorsqu’il s’agit de vos données. Ce qui est délicat, vu l’intérêt que peuvent avoir les services de renseignement pour un tel silo à données comme Facebook.

Si vous utilisez Facebook Messenger ou la messagerie d’Instagram, toutes deux propriétés de Facebook, ne comptez pas trouver un chiffrement de bout-en-bout sur ces services. Actuellement le seul chiffrement se fait pendant la transmission et l’historique est conservé sur les serveurs du réseau social.

iMessages : Apple de bout-en-bout

Dans le cadre de la longue affaire Apple / FBI, les médias ont découvert l’étendue des méthodes de chiffrement de la firme du Cupertino. Mais elles n’ont pas attendu le chiffrement des données locales stockées sur les iPhone.

Ainsi iMessage, la fonctionnalité de messagerie instantanée installée par défaut sur iOS et OS X dans l’application Messages, fut l’une des toutes premières à être chiffrée de bout-en-bout. À l’instar de WhatsApp, elle propose ainsi une solution dans laquelle seuls le destinataire et l’expéditeur ont les clés des messages échangés. Toutefois, la messagerie est exclusive à l’écosystème Apple, ce qui oblige les deux interlocuteurs à utiliser un appareil de la firme.

28bits-imessage-videoSixteenByNine600

La sécurité devient plus problématique lorsque l’on réalise une sauvegarde de l’historique de messagerie dans iCloud. Bien que le service d’Apple soit chiffré, l’entreprise conserve actuellement la clé qui permet à l’utilisateur d’y accéder. Enfin, le protocole et les technologies propriétaires de la messagerie d’Apple vous demanderont là encore de faire confiance aux promesses d’une entreprise privée.

Google Hangouts : du chiffrement en route

Google Hangouts remplace les autres messageries de Google (Gtalk, Google+) et offre le chiffrement des messages par défaut. Néanmoins, il s’agit exclusivement d’un chiffrement pendant le transport. Google conserve l’accès en clair aux messages échangés.

Hangouts-2.2-for-iOS-Android-screenshots

La messagerie est disponible sur toutes les plateformes mais pour celui qui se soucie de sa vie privée, c’est sans doute vers un autre service qu’il faudra se tourner.

Les messageries sécurisées plus sûres

Si elles ont l’avantage d’être très ergonomiques et d’être très répandues chez les utilisateurs, les messageries précitées ne peuvent pas raisonnablement convenir à ceux qui sont particulièrement soucieux de la confidentialité de leurs échanges. Le mieux est de se tourner vers des solutions libres, open source, dont le code est audité et éprouvé, et peut être exécuté sans conservation des métadonnées.

Loin d’être un détail, l’accessibilité aux sources permet aussi aux communautés de garder en état de marche les processus de chiffrement et de résoudre plus rapidement les failles de sécurité que sur un code propriétaire. Voici donc nos solutions, open source, les plus prudentes.

Telegram, messagerie star

Lancée par les mystérieux frères Durov, qui quittaient alors leur Facebook russe Vkontakte à cause de pressions gouvernementales, l’application Telegram s’est faite une sacrée réputation, tant pour sa sécurité que pour les polémiques qu’elle déclenche.

L’application de messagerie a été visée par de nombreux médias après les attentats terroristes de novembre 2015 à Paris, à cause de sa prétendue notoriété auprès des djihadistes. Loin d’être une application à destination du terrorisme, Telegram est pourtant d’abord une réponse militante des frères Durov aux scandales à répétition sur la surveillance des données.

Installée en Allemagne, la messagerie compte aujourd’hui plus de 100 millions d’utilisateurs mensuels et ne cesse de s’améliorer avec des fonctions de sécurité mais aussi des killer-features qui n’ont rien à envier aux solutions propriétaires.

Ainsi, Telegram fut par exemple à l’avant-garde des chatbots grâce à ses API et à sa grande communauté d’utilisateurs. Le code source de Telegram est bien sûr ouvert et publié sur Github, garantissant un contrôle réel de la qualité du chiffrement.

Toutefois, il est important de noter que Telegram ne chiffre pas par défaut vos messages. Il faudra passer par le mode Secret Chat pour avoir une solution de bout-en-bout totale. À noter que Telegram propose aussi de pouvoir supprimer les messages du terminal de votre destinataire ou de planifier leur disparition.

unnamed

 

Signal, la messagerie de Snowden

En un tweet, le lanceur d’alerte Edward Snowden a donné la meilleure publicité possible à Open Whisper Systems, l’ONG qui édite Signal. L’application Signal rassemble deux outils, l’un d’appel en VoIP chiffré (RedPhone) et l’autre de messagerie chiffrée (TextSecure), en une seule application multi-plateformes.

En chiffrant de bout-en-bout tous les messages et en ne conservant aucun historique des utilisateurs, Signal s’illustre par ses qualités en matière de sécurité. Son code, ouvert comme celui de Telegram, vous permettra de vérifier la qualité et la sûreté du programme.

signal-desktop-foucault-650x461

Aujourd’hui moins en vogue que Telegram, Signal s’approche pourtant des fonctionnalités de celui-ci, avec plus de confidentialité par défaut, et aucune conservation de métadonnées. Signal a sorti une version de son application pour Chrome, vous permettant ainsi d’accéder à votre messagerie chiffrée depuis votre mobile, comme votre ordinateur.

Partager sur les réseaux sociaux

Articles liés