Aux États-Unis, la presse rapporte que la police a pu accéder à des messages Signal. Mais ce n’est probablement pas en cassant la cryptographie de l’application.

La sécurité des messages envoyés et reçus dans Signal revient dans l’actualité. Dans un article paru le 13 janvier, CNBC rapporte que les forces de l’ordre aux États-Unis sont parvenues à accéder à des messages de l’application mobile, alors qu’elles enquêtaient sur le leader d’une milice d’extrême droite (« Oath Keepers ») et d’autres individus.

Ces investigations concernent les évènements qui se sont déroulés il y a un peu plus d’un an dans la capitale américaine, lors de la confirmation des résultats de l’élection présidentielle. Celle-ci touchait à sa fin, avec la validation de la victoire de Joe Biden sur Donald Trump. Mais alors qu’une transition pacifique est d’ordinaire la norme, des troubles éclatent à Washington.

Donald Trump n’admet pas directement sa défaite et dénonce, comme il l’a fait déjà depuis des semaines et des mois avant le scrutin, une fraude généralisée. Une telle défiance attise ses partisans et une foule se masse au Capitole pour dénoncer et même empêcher la proclamation des résultats. Le bâtiment est envahi, il y a des morts et Donald Trump est banni des réseaux sociaux.

drapeau oath keepers
Source : Anthony Crider

C’est dans ce contexte que, depuis, les autorités cherchent à retrouver les éléments les plus radicaux de ces troubles pour les traduire en justice. Or il apparait à l’époque que Signal, qui est une messagerie instantanée, est déjà utilisée aussi par des partisans de Trump pour discuter en toute discrétion et coordonner leurs actions. D’où l’intérêt de la police à y accéder.

La particularité de Signal est de proposer une protection appelée chiffrement de bout en bout. Il s’agit d’une méthode qui cache le contenu des messages grâce à des opérations mathématiques complexes, de sorte que seules les personnes ayant accès à la conversation sont en mesure de lire. Intercepter les messages sans la clé de déchiffrement ne sert ainsi à rien.

Sous ce régime de chiffrement de bout en bout, il est en principe impossible pour un tiers, quel qu’il soit, de lire les messages. Que ce soit l’opérateur, la police ou bien Signal lui-même. Cela vaut évidemment si le protocole de chiffrement est robuste et vérifiable, deux caractéristiques qu’on retrouve dans Signal, puisqu’il s’agit d’une solution cryptographique open source.

Est-ce à dire que le chiffrement des messages dans l’application Signal a été vaincu ? Cela paraît hautement improbable.

La police a peut-être eu un coup de pouce pour lire Signal

Par le passé, Signal a fait l’objet de suspicions similaires : la presse a suggéré qu’une entreprise, Cellebrite, dont les activités l’amènent à travailler avec les forces de l’ordre pour déverrouiller les smartphones, serait capable de lire l’application Signal. L’actualité s’emballant, Signal a riposté en estimant qu’il est impossible que Cellebrite casse son chiffrement.

La piste la plus plausible, que l’article de CNBC évoque d’ailleurs, est que la police a pu percer Signal par des voies détournées, sans toucher à la cryptographie. Le chiffrement de bout en bout n’est pas un totem d’immunité absolu : si quelqu’un se trouvant dans la boucle des conversations transmet les messages chiffrés, la « crypto » ne peut rien.

« Une possibilité est qu’un autre destinataire ayant accès aux messages les ait remis aux enquêteurs. La plainte fait référence à des messages de groupe exécutés sur l’application, il est donc possible qu’un autre participant à ces chats ait coopéré », écrit le journal. Cette coopération est crédible, car elle peut permettre à un tiers mis en cause d’espérer de la clémence quand son jugement viendra.

La police aurait percé Signal pour accéder à des messages chiffrés ? Pas si vite
Signal chiffre les messages entre participants d’une conversation de telle sorte qu’ils ne sont pas en principe lisible depuis l’extérieur. Mais si un participant montre les messages, la « crypto » perd son intérêt. // Source : Signal

Une autre piste à considérer est celle de la police mettant la main sur un téléphone qui est dans la boucle des conversations sur Signal. Si le mobile n’a pas de code de verrouillage, ou si celui-ci est trop facilement devinable, l’accès à l’application est un jeu d’enfant : il n’y a qu’à l’ouvrir et à consulter les messages qui s’y trouvent. Ici aussi, la « crypto » est sans effet.

C’est aussi par ces moyens détournés que le droit et les enquêteurs peuvent opérer en France. Comme le relevait un officier de gendarmerie, refuser de communiquer le code de déverrouillage de son téléphone à la demande d’un officier de police judiciaire peut être constitutif d’une infraction. Avec cette pression sur les épaules, un prévenu peut le donner et, par conséquent, donner accès à Signal.

Signal n’a pas réagi, pour l’instant, aux éléments rapportés par CNBC. Mais on peut supposer que les forces de l’ordre ont bénéficié d’une opportunité opérationnelle (un téléphone dans la boucle était disponible et ouvert) ou juridique (la coopération d’un mis en cause qui veut limiter les dégâts au tribunal). En clair, cela semble plus un sujet de droit et d’enquête que de faiblesse du protocole Signal.