Signal est avant tout connue pour son utilisation par défaut du chiffrement de bout en bout. Mais la messagerie instantanée fournit aussi d'autres paramètres pour élever encore plus sa sécurité.

C’est le principal atout de Signal : le chiffrement de bout en bout par défaut. Si cette application mobile n’est pas la seule à proposer cette protection dans un service de messagerie instantanée, elle est celle qui suscite le plus haut degré de confiance : le code source est ouvert, son concepteur est une figure connue du milieu de la cryptographie et le projet est encadré par une forme juridique protectrice.

Pour le dire vite, le chiffrement de bout en bout est une méthode faisant appel à des calculs mathématiques qui rendent illisibles les conversations et les fichiers si l’on ne possède pas la clé de déchiffrement. On emploie cette formule quand le message est chiffré sur le terminal de l’usager, et déchiffré sur celui du destinataire, l’un et l’autre représentant une extrémité de cette liaison.

Sans clé, un message chiffré est incompréhensible. // Source : Facebook

De cette façon, le canal de discussion est rendu inaccessible à tout tiers, que ce soit la société qui fournit le service, le fournisseur d’accès à Internet, un administrateur réseau ou même les forces de l’ordre. Même si les messages se font intercepter, ils se trouvent dans un format inexploitable. Pour en retrouver le sens, seuls des moyens considérables pourraient éventuellement changer la donne.

Le fait est que le chiffrement de bout en bout n’est pas conçu pour répondre à tous les problèmes : typiquement, il ne peut rien faire contre les attaques qui surviennent sur le bout de la chaîne, c’est-à-dire sur le smartphone. Si on vous le dérobe, et qu’il est en accès libre, sans code de verrouillage, il n’y a aucune difficulté à lancer l’application et à dérouler les différentes conversations, en clair.

Verrouillage de l’application

La bonne nouvelle, néanmoins, c’est que Signal fournit quelques options supplémentaires pour réduire le niveau de risque en bout de chaîne. Celles-ci sont disponibles dans les réglages de l’application. Il faut également considérer la sécurité propre à iOS et Android, selon le système d’exploitation que vous utilisez : code PIN, schéma à tracer, mot de passe ou même déverrouillage biométrique.

L’application tient compte du type de verrouillage que vous utilisez. // Source : Louise Audry pour Numerama

Vous pouvez aussi verrouiller spécifiquement Signal avec la protection que vous utilisez pour empêcher l’accès à votre smartphone. Cela peut servir si vous quelqu’un vous arrache le téléphone des mains, pour en voir le contenu. Si l’application est verrouillée à ce moment-là, il ne sera pas possible d’y accéder, même si l’écran de verrouillage de l’OS est passé.

L’option se trouve en suivant ces étapes :

  • Lancez l’application et allez dans le menu, dont l’icône affiche des points de suspension verticaux, en haut à droite de l’écran ;
  • Choisissez « Paramètres », puis « Confidentialité » ;
  • À la rubrique « Sécurité de l’appli », cochez « Verrou d’écran » ;
  • Vous pouvez éventuellement régler un délai d’inactivité avant verrouillage de l’écran (avec un minimum d’une minute).

Messages éphémères

Une autre mesure de protection — si elle est activée avant– peut être l’emploi des messages éphémères. Le nom est explicite : il désigne des messages qui s’autodétruisent au bout d’un moment (5 secondes à une semaine, avec plusieurs échelons intermédiaires).

Cela donne lieu à des historiques de conversation lunaires.

Une fois que le message a expiré, la conversation n’en garde aucune trace, pas même une mention qui dirait qu’un message a existé. Par contre, il y a quand même une mention d’activation et de désactivation de l’option qui apparait à l’écran, tout comme la durée du paramètre qui a été choisi. L’option des messages éphémères est radicale pour cacher ses échanges passés, mais vous n’aurez plus d’historique.

D’autres options de sécurité

Signal propose d’autres options de sécurité et de confidentialité, qui figurent au même endroit que le verrouillage de l’application. Il est possible d’activer un paramètre qui bloque les captures d’écran. Cependant, ce n’est pas une protection absolue : un appareil photo peut prendre l’écran par exemple. Et si toutes les autres protections sont tombées, il ne sera pas difficile d’aller la désactiver dans les paramètres.

Signal peut aussi demander aux claviers installés sur le smartphone de ne pas utiliser l’apprentissage personnalisé, basé sur ce que vous écrivez. À noter toutefois que cette instruction ne sera pas forcément suivie par le clavier. Pour que l’option donne son plein potentiel, vous devez installer préalablement un clavier qui respectera la décision choisie.

Troisième option de sécurité qui peut avoir un intérêt : dans les paramètres avancés, Signal propose de mettre à disposition son serveur pour relayer les coups de fil. De cette façon, le contact qui cherche à vous joindre n’est pas en mesure de voir votre adresse IP, mais celle du serveur. Signal prévient toutefois que ce réglage affecte négativement la qualité des appels.

Signal app
Pour cacher son adresse IP, ce chat utilise peut-être le serveur intermédiaire de Signal. // Source : Open Whisper Systems

Partager sur les réseaux sociaux

La suite en vidéo