Qu'est-ce que l'application de messagerie Signal et est-elle sécurisée ?

Lire uniquement le texte pour utiliser moins de données
L'écran de téléchargement de l'application Signal sur iPhone. Son logo est une bulle de dialogue blanche sur fond bleu clair. Dans la description de l'application, on peut lire : « say hello to privacy » : « Dites bonjour à la vie privée ».

Crédit photo, Getty Images

    • Author, Tom Gerken
    • Role, Reporter Technologie

L'application de messagerie gratuite Signal a fait les gros titres après que la Maison Blanche a confirmé qu'elle avait été utilisée pour une discussion de groupe secrète entre de hauts fonctionnaires américains.

Le rédacteur en chef de The Atlantic, Jeffrey Goldberg, a été ajouté par inadvertance au groupe où étaient discutés les plans d'une attaque contre le groupe Houthi au Yémen.

Cette affaire a suscité de vives réactions, le chef des démocrates au Sénat, Chuck Schumer, la qualifiant de « l'une des fuites les plus stupéfiantes » de l'histoire du renseignement militaire et demandant l'ouverture d'une enquête.

Mais qu'est-ce que Signal et dans quelle mesure les communications des hauts responsables politiques sur ce document étaient-elles sécurisées ?

A lire aussi sur BBC Afrique :

L'application de sécurité

Signal compte environ 40 à 70 millions d'utilisateurs mensuels, ce qui en fait un service minuscule comparé aux plus grands services de messagerie, WhatsApp et Messenger, qui comptent des milliards d'utilisateurs.

Cependant, c'est en matière de sécurité que Signal fait figure de pionnier.

Le chiffrement de bout en bout (E2EE) est au cœur de cette sécurité.

En d'autres termes, seuls l'expéditeur et le destinataire peuvent lire les messages - même Signal n'y a pas accès.

Skip Les plus lus and continue reading
Les plus lus

End of Les plus lus

Ignorer Promotion WhatsApp et continuer la lecture
BBC Afrique est sur WhatsApp

Des informations vérifiées à portée de main

Cliquez ici et abonnez-vous !

Fin de Promotion WhatsApp

Un certain nombre d'autres plateformes disposent également de l'E2EE, notamment WhatsApp, mais les caractéristiques de sécurité de Signal vont plus loin.

Par exemple, le code qui permet à l'application de fonctionner est open source, ce qui signifie que n'importe qui peut le vérifier pour s'assurer qu'il n'y a pas de vulnérabilités que les pirates pourraient exploiter.

Ses propriétaires affirment qu'elle recueille beaucoup moins d'informations de la part de ses utilisateurs et, en particulier, qu'elle ne stocke pas les noms d'utilisateur, les photos de profil ou les groupes dont les utilisateurs font partie.

Il n'est pas non plus nécessaire de diluer ces fonctionnalités pour gagner plus d'argent : Signal est la propriété de la Signal Foundation, une organisation à but non lucratif basée aux États-Unis, qui s'appuie sur les dons plutôt que sur les recettes publicitaires.

« Signal est l'étalon-or des communications privées », a déclaré Meredith Whittaker, sa patronne, dans un message publié sur X après que l'affaire de la sécurité nationale des États-Unis a été rendue publique.

"Très, très inhabituel"

C'est cette « revendication de l'étalon-or » qui rend Signal attrayant pour les experts en cybersécurité et les journalistes, qui utilisent souvent l'application.

Mais même ce niveau de sécurité est considéré comme insuffisant pour les conversations de très haut niveau portant sur des questions de sécurité nationale extrêmement sensibles.

En effet, la communication par téléphone portable comporte un risque en grande partie inévitable : la sécurité de l'appareil dépend de la personne qui l'utilise.

Si quelqu'un accède à votre téléphone avec Signal ouvert - ou s'il apprend votre mot de passe - il pourra voir vos messages.

Et aucune application ne peut empêcher quelqu'un de jeter un coup d'œil par-dessus votre épaule si vous utilisez votre téléphone dans un lieu public.

L'experte en données Caro Robson, qui a travaillé avec l'administration américaine, a déclaré qu'il était « très, très inhabituel » que de hauts responsables de la sécurité communiquent sur une plateforme de messagerie telle que Signal.

« Habituellement, on utilise un système gouvernemental très sécurisé, exploité et détenu par le gouvernement, qui utilise des niveaux de cryptage très élevés », a-t-elle déclaré.

Elle a ajouté que cela signifiait généralement que les appareils étaient conservés dans des « lieux très sécurisés contrôlés par le gouvernement ».

Le gouvernement américain a toujours utilisé un système d'information compartimentée sensible (Scif - prononcer « skiff ») pour discuter des questions de sécurité nationale.

Un groupe d'hommes et de femmes sont assis et regardent un écran hors champ. Ils sont dans une petite pièce. Certains portent des chemises élégantes et des cravates. L'un d'entre eux porte un uniforme militaire avec de nombreuses médailles. Barack Obama regarde attentivement. Hilary Clinton, choquée, se met la main sur la bouche. De nombreux ordinateurs sont posés sur les bureaux.

Crédit photo, White House

Légende image, Cette célèbre photo prise à l'intérieur du Scif peut-être le plus célèbre - la salle de situation de la Maison Blanche - en 2011 montre le président de l'époque, Barack Obama, et son équipe réagissant à une mise à jour pendant le raid américain visant à tuer Oussama Ben Laden.

Un Scif est un espace clos ultra-sécurisé dans lequel les appareils électroniques personnels ne sont pas autorisés.

« Pour avoir accès à ce type d'informations classifiées, il faut se trouver dans une pièce ou un bâtiment particulier, soumis à des vérifications répétées pour détecter la présence de mouchards ou de dispositifs d'écoute », a déclaré Mme Robson.

On trouve des Scifs dans des endroits allant des bases militaires aux domiciles des fonctionnaires.

« L'ensemble du système est massivement crypté et sécurisé à l'aide des normes de cryptographie les plus strictes du gouvernement. »

« Surtout lorsque la défense est impliquée. »

Chiffrement et enregistrements

Un autre problème lié à Signal a suscité des inquiétudes : la disparition des messages.

Signal, comme beaucoup d'autres applications de messagerie, permet à ses utilisateurs de faire disparaître les messages au bout d'un certain temps.

Jeffrey Goldberg, de The Atlantic, a déclaré que certains des messages du groupe Signal auquel il avait été ajouté avaient disparu au bout d'une semaine.

Cela pourrait constituer une violation des lois relatives à la conservation des données, à moins que les utilisateurs de l'application n'aient transmis leurs messages à un compte officiel du gouvernement.

Cette affaire est loin d'être la première impliquant l'E2EE

Plusieurs administrations ont voulu créer une « porte dérobée » dans les services de messagerie qui l'utilisent, afin de pouvoir lire les messages qui, selon elles, pourraient constituer une menace pour la sécurité nationale.

Des applications telles que Signal et WhatsApp ont déjà combattu les tentatives de création d'une telle porte dérobée, affirmant qu'elle finirait par être utilisée par des acteurs malveillants.

Signal a menacé de retirer l'application du Royaume-Uni en 2023 si les législateurs l'empêchaient de fonctionner.

Cette année, le gouvernement britannique s'est retrouvé au cœur d'une importante querelle avec Apple, qui utilise également l'E2EE pour protéger certains fichiers dans le stockage en nuage.

Apple a fini par retirer cette fonctionnalité au Royaume-Uni après que le gouvernement a demandé l'accès aux données protégées de cette manière par le géant de la technologie.

La procédure judiciaire est en cours.

Mais, comme le montre cette controverse, aucun niveau de sécurité ou de protection juridique n'a d'importance si vous partagez simplement vos données confidentielles avec la mauvaise personne.

Ou, comme l'a dit plus crûment un critique, « le cryptage ne peut pas protéger » : « Le cryptage ne peut pas vous protéger de la stupidité ».