L’application n’est jamais directement nommée dans la circulaire de la Première ministre. Tout juste y fait-on allusion de manière détournée, en évoquant les « principales applications de messagerie instantanée grand public ». Mais, entre les lignes, on comprend bien que les solutions ciblées s’appellent WhatsApp, Telegram ou encore Signal.
À l’origine de cette affaire, la volonté du gouvernement français de faire reposer les échanges de ses ministres, secrétaires d’État, directeurs de cabinet et leurs membres sur une application sûre, que l’on peut davantage maîtriser et vérifier. En clair, une messagerie franco-française plutôt qu’étrangère. Et, dans ce cadre, deux options se dégagent : Tchap et Olvid.
Des enjeux de souveraineté qui peuvent se comprendre et se justifier en vue de défendre l’une de ces deux solutions plutôt que les autres. Cependant, un argument particulier a suscité le mécontentement de Meredith Whittaker, la présidente de la fondation Signal, qui s’occupe de la messagerie du même nom : c’est celui d’un défaut de sécurité.
Dans la circulaire, l’une des raisons brandies est celle de la vulnérabilité. Citant les messageries instantanées du grand public, les services d’Elisabeth Borne les présentent comme des outils numériques qui « ne sont pas dénués de failles de sécurité ». Une formulation que d’aucuns ont pu trouver malheureuse, comme si Olvid et Tchap n’en avaient jamais.
Une faille ? Quelle faille ?
C’est cette allégation qui agace la directrice de Signal. « La Première ministre française impose aux ministres l’utilisation d’une petite appli de messagerie française. Très bien. Mais je suis inquiète de voir qu’elle invoque des ‘failles de sécurité’ dans Signal (et autres) pour justifier ce changement », a réagi Meredith Whittaker sur X (ex-Twitter) le 30 novembre 2023.
« Cette affirmation n’est étayée par aucune preuve et est dangereusement trompeuse, en particulier lorsqu’elle émane du gouvernement. Si vous voulez utiliser un produit français, allez-y ! Mais ne diffusez pas d’informations erronées en cours de route », a-t-elle ajouté. Et d’ajouter que s’il existe une brèche sur Signal, ce qui peut arriver, il faut alors la signaler.
Elle a rajouté, à toutes fins utiles, que « Signal fait l’objet d’un audit indépendant, son code source est ouvert et son protocole est testé depuis plus de 10 ans ». Une adresse spéciale, [email protected], existe d’ailleurs pour traiter tous les rapports concernant une éventuelle faille. Si c’est avéré, Signal fait alors l’objet d’un correctif pour corriger le défaut.
Signal, comme d’autres apps, a parfois des faiblesses. En 2019, une ingénieure de Google spécialisée dans la sécurité avait repéré un bug sur Android. Dans des circonstances exceptionnelles, un attaquant pouvait téléphoner à une cible et parvenir à maintenir le canal audio ouvert, en toute discrétion. Ce faisant, on pouvait espionner les discussions aux alentours. Le bug a été corrigé le jour même.
Dans d’autres cas, les allégations sont infondées. C’est le cas en 2020 et en 2021, lorsque la qualité de son chiffrement de bout en bout a été remis en question. Plus récemment encore, une prétendue faille critique a émergé en octobre 2023. Mais, après enquête, aucune preuve tangible prouvant la réalité de cette vulnérabilité a été communiquée.
Signal, une référence du genre
Plusieurs spécialistes en cyber ont souligné l’excellence de Signal — au point que son protocole de chiffrement, d’ailleurs, a été largement repris par d’autres applications, de WhatsApp à Google Messages, en passant par Messenger ou Skype. C’est le cas d’Olivier Blazy, chercheur en cryptographie, ou encore Baptiste Robert, un hacker et chercheur en cybersécurité.
« Signal est une référence en matière de sécurité. L’insinuation de problème de sécurité de la Première ministre est dangereux et inquiétant », a ainsi écrit Baptiste Robert. « Cette pointe d’antiaméricanisme [la fondation Signal est basée aux États-Unis, NDLR] idéologique constante est nuisible au débat et ne devrait pas jouer sur les discussions techniques », a-t-il ajouté.
Au-delà des qualités propres d’Olvid, soulignées par Baptiste Robert, mais aussi par l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui lui a délivré une certification de sécurité de premier niveau, la question est de savoir si tout cela ne va pas finir par se retourner contre elle. Surtout si elle est présentée comme une solution parfaitement sûre.
Le ministre délégué de la Transition numérique et des télécommunications, Jean-Noël Barrot, a ainsi parlé d’Olvid comme d’une application « 100 % sûre » lors d’une interview avec France Info. Une déclaration qui place l’application française dans une posture délicate si jamais une faiblesse est repérée un jour dans le logiciel. En matière de sécurité, il faut se méfier des phrases définitives.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
