Signal suspecte une fake news contre lui pour forcer le public à utiliser des solutions moins sûres. Et quelques jours avant, le créateur de Signal a rappelé les faiblesses de Telegram, un concurrent, qui est fortement utilisé en Ukraine.

C’est un message qui prend une teinte toute particulière, en ces heures très difficiles pour la population ukrainienne. Dans un tweet publié le 1er mars 2022, l’application de messagerie instantanée Signal a dénoncé ce qui s’apparente à une opération de déstabilisation contre elle. Il s’agirait, ajoute le service, de pousser les internautes à utiliser des applications moins sécurisées .

« Des rumeurs circulent selon lesquelles Signal est piraté et compromis. Ceci est faux. Signal n’est pas piraté. Nous pensons que ces rumeurs font partie d’une campagne de désinformation coordonnée visant à encourager les gens à utiliser des alternatives moins sûres », écrit la direction du projet, qui ne dit pas quelles sont ces solutions plus risquées.

« Nous voyons ces rumeurs apparaître dans des messages transmis sur plusieurs applications différentes. Ces rumeurs sont souvent attribuées à des sources gouvernementales officielles et se lisent ‘attaques contre la plateforme Signal’. Ceci est faux et Signal n’est pas attaqué », est-il ajouté. Ce n’est pas la première fois que le service est remis en cause, à tort jusqu’à présent.

Signal tchat discussion conversation
Signal offre par défaut un haut niveau de sécurité avec le chiffrement de bout en bout. // Source : Signal

Les pays dans lesquels ces bruits de couloir résonnent ne sont pas mentionnés par Signal, mais le premier tweet faisait observer « une augmentation de l’utilisation [de Signal] en Europe de l’Est », ce qui suggère que les rumeurs autour de Signal sont susceptibles de venir tout aussi bien des ex-membres du bloc soviétique que de la Biélorussie ou de la Russie.

Signal a pour particularité de proposer par défaut des discussions qui sont chiffrées de bout en bout, c’est-à-dire sur le smartphone, avant de circuler sur le réseau. Cette méthode de protection masque le contenu des messages en se servant d’opérations mathématiques complexes, que seules les personnes ayant accès légitimement à la conversation peuvent lire.

La lecture se fait avec un jeu de clés. Sans celle dévolue au déchiffrement, impossible de lire les messages : les intercepter ne sert à rien. Sous ce régime, aucun tiers extérieur à la discussion ne peut lire ce qui est échangé, que ce tiers s’appelle Signal, FAI ou gouvernement. Seuls des éléments périphériques (les métadonnées) peuvent être collectés.

Telegram est populaire en Ukraine, mais ne propose pas de chiffrement de bout en bout par défaut

Quelques jours avant le message de Signal, Moxie Marlinspike, un hacktiviste et cryptographe à l’origine de l’application, pointait du doigt le trop grand succès de Telegram en Ukraine. C’est le 25 février, le lendemain de l’invasion russe, qu’il avait publié son message, estimant que cela pouvait entraîner un risque sérieux de sécurité pour la population.

« Telegram est la messagerie la plus populaire en ville. Après une décennie de marketing et de presse mensongers, la plupart des gens croient qu’il s’agit d’une ‘application chiffrée’. La réalité est tout autre : Telegram est par défaut une base de données dans le cloud contenant une copie en texte clair de tous les messages que chacun a émis ou reçus. »

Faudrait-il, dès lors, que Telegram bascule sur du chiffrement de bout en bout par défaut ? Au sixième jour de l’offensive russe en Ukraine, force est de constater que ce n’est pas (encore ?) le cas : en date du 1er mars, aucune annonce en ce sens n’est venue du site de Telegram, de son compte officiel sur Twitter ou bien de celui de Pavel Durov, ni sur son compte Telegram.

Logo-Telegram2
Telegram est populaire en Ukraine, ce qui interroge au regard des développements militaires récents. // Source : Nino Barbey pour Numerama

« Tous les messages, photos, vidéos, documents envoyés/reçus au cours des 10 dernières années, tous les contacts, les membres de groupes, etc. sont accessibles à toute personne ayant accès à cette base de données », prévenait Moxie Marlinspike, qui a souvent critiqué Telegram, en estimant que la comparaison avec Signal ne tenait pas la route.

« De nombreux employés de Telegram ont de la famille en Russie. Si la Russie ne veut pas s’embêter avec le piratage, elle peut tirer parti de la possibilité de faire pression sur les familles pour y accéder », ajoutait-il également. Pavel Durov lui-même pourrait être concerné, dans la mesure où il a la nationalité russe.

Telegram est une application concurrente de Signal, mais qui a pour particularité de ne pas proposer par défaut le chiffrement de bout en bout. C’est pour cela que l’on dit que Telegram est moins sécurisé que Signal. Certes, il existe une option que l’on peut activer dans Telegram pour demander ponctuellement le chiffrement de bout en bout, mais encore faut-il la connaître.

(correction de l’inter-titre pour préciser que l’on parle bien du chiffrement de bout en bout)