Un message publié par Elon Musk début janvier a appelé les internautes à utiliser Signal. La messagerie est également utilisée et préconisée par Edward Snowden. Mais de quoi s'agit-il ?

C’est un tweet énigmatique qu’a publié Elon Musk le 7 janvier. Énigmatique si vous êtes ni spécialiste de sécurité informatique, ni au courant de ce qui se passe dans le petit monde de la tech. En effet, l’entrepreneur américain, connu aussi bien pour ses frasques que pour son insolent succès en affaires, a invité ses abonnés à utiliser Signal, sans dire de quoi il s’agit ni expliquer pourquoi il faudrait s’en servir.

Le chiffrement de bout en bout

Pour qui ne parle pas le langage « Elon Musk », il faut savoir que Signal est une application mobile pour Android et iOS — mais il existe aussi une déclinaison pour ordinateur (Windows, Mac et Linux). Plus exactement, c’est une messagerie sécurisée qui fournit du chiffrement de bout en bout. Derrière ce jargon se cache en fait une méthode très efficace pour assurer la confidentialité des discussions.

Un indice de sa très grande qualité sur le plan de la protection des échanges est que Signal est l’application de référence d’Edward Snowden, le lanceur d’alerte américain qui en 2013 a révélé au monde entier les activités top secrètes de la NSA en matière de surveillance en ligne. Or, l’une des méthodes pour contrer l’espionnage de masse consiste à se servir du chiffrement, surtout quand il est de bout en bout.

Pour plaisanter, l’intéressé, qui est réfugié en Russie par crainte de représailles de la part des États-Unis — ou, plus précisément, d’un procès inéquitable — a glissé que l’une des raisons pour lesquelles Signal est une application de grande qualité est qu’il l’utilise tous les jours et qu’il n’est pas encore mort. Sous-entendu : si l’application n’était pas si sécurisée, les services secrets lui seraient déjà tombés dessus.

Le principe du chiffrement de bout en bout (end-to-end encryption en anglais, ou E2EE) consiste à faire en sorte que seuls les membres d’une même discussion puissent accéder à son contenu — qu’il s’agisse de textes, de sons, de vidéos, d’images ou de fichiers quelconques. Avec cette protection, même l’éditeur de Signal (Open Whispers System), ou le fournisseur d’accès, à Internet ne voit rien.

Un aperçu de l’interface de Signal. // Source : Open Whisper Systems

Une messagerie très sécurisée

Le protocole utilisé par Open Whispers System pour sécuriser Signal est très réputé, à tel point d’ailleurs qu’il est repris dans des services extrêmement populaires, comme Skype, WhatsApp, Facebook Messenger et Google Messages.Des organisations ou personnalités reconnues en chantent aussi les louanges, comme l’Electronic Frontier Foundation ou bien Christopher Soghoian.

La première est une puissante organisation américaine de défense des libertés dans l’espace numérique (elle cite Signal dans son guide d’auto-défense contre la surveillance). Le second est un chercheur en sécurité informatique et responsable du projet « liberté d’expression, respect de la vie privée et technologie » au sein de l’Union américaine pour les libertés civiles, en a aussi dit beaucoup de bien.

Aujourd’hui, il n’existe pas de preuve montrant que le protocole Signal est vulnérable. Cela ne veut pas dire qu’il propose une protection pure et parfaite : son but premier est de contrer la surveillance de masse, c’est-à-dire la captation indiscriminée d’échanges non sécurisés. Si votre smartphone est déverrouillé, quelqu’un peut vous le prendre des mains et ouvrir Signal, par exemple.

Tout dépend aussi de votre modèle de menace : pour le tout-venant et pour un usage courant, Signal fait très largement le job. Si par contre vous êtes une cible précise d’une puissante agence de renseignement, qui en a spécifiquement après vous, votre problème n’est pas de savoir s’il faut utiliser ou non Signal. Ce serait plutôt de savoir s’il faut utiliser ou non un smartphone. Ou même s’il faut fuir tout de suite ou pas.

Sans aller jusqu’à ces extrémités, une garde à vue et une procédure judiciaire à votre encontre suffisent à accéder à Signal. Comme le pointe un officier de gendarmerie, refuser de communiquer le code de déverrouillage de son téléphone à la demande d’un officier de police judiciaire peut être constitutif d’une infraction en France. Ce n’est ici pas un souci de faiblesse du protocole. C’est un problème de droit.

Un cas d’usage peut être observé avec la Commission européenne : en début d’année 2020, il a été annoncé que Bruxelles a recommandé à son personnel de se servir de Signal pour discuter avec des personnes extérieures à l’institution, afin de relever le niveau de sécurité des communications. Toutefois, pour ce qui est des échanges très sensibles, ce sont des canaux spécifiques qui sont privilégiés.

Signal fait « mieux » que ses concurrents

Les éloges adressés par Edward Snowden, Christopher Soghoian ou bien l’Electronic Frontier Foundation ne viennent pas de nulle part. Dans un certain nombre de travaux et de comparatifs, Signal fait aussi bien, voire mieux que d’autres solutions concurrentes. Il y a bien sûr l’évaluation du chiffrement de bout en bout, mais aussi d’autres critères, comme l’ouverture du code source, la décentralisation ou la nationalité.

Signal ne marque pas systématiquement le maximum de points dans chaque catégorie. Mais pour une application qui se veut conviviale et utilisable, c’est-à-dire en reprenant des fonctionnalités populaires utilisées par la concurrence, elle réussit souvent à très bien s’en tirer : c’est ce que montrent les tableaux de Secure Messaging Apps Comparison, qui juge des applications sur des critères très techniques, et de Quarkslab.

Quarkslab est une entreprise française spécialisée dans la sécurité informatique — elle est un centre d’évaluation reconnu par l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, qui est en quelque sorte le cyber-garde du corps de l’État. Dans un tableau de l’EFF, qui n’est plus à jour, Signal s’en tirait aussi avec la note maximale. Il n’y en avait pas beaucoup qui était au même niveau.

Quarkslab
Plusieurs applications évaluées sur une liste de critères de sécurité. // Source : Quarkslab

Autre illustration, les travaux menés en mars 2017 par Florian Maury, un ex-ingénieur de l’ANSSI. Dans un papier intitulé Chiffrement de messagerie quasi instantanée : à quel protocole se vouer ?, il explore les mécanismes cryptographiques et en les confrontant dans une étude comparative. Signal n’est certes pas le plus à son avantage, mais c’est loin d’être le pire.

Signal n’est donc pas parfait — ce que rappelait La Quadrature du Net en 2018, en faisant observer que par le passé la messagerie « a pendant longtemps requis que les services Google soient installés sur le téléphone » (ce n’est plus le cas aujourd’hui). Cela étant, ses vertus en matière de protection de la vie privée sont telles qu’elles compensent largement les quelques accommodements constatés.

En tout cas, l’appel d’Elon Musk a été entendu. Le 7 janvier, Signal expliquait que les codes de vérification étaient retardés chez plusieurs opérateurs car de nombreuses personnes tentaient de rejoindre le service. La situation s’est depuis normalisée. Il reste maintenant à espérer pour Signal que ces nouveaux inscrits passeront le stade de la simple curiosité et deviennent des utilisateurs pour longtemps.

Partager sur les réseaux sociaux

La suite en vidéo