Olvid, WhatsApp, Messenger, Messages, Signal... Quelles messageries sont vraiment sécurisées ?

Les membres du gouvernement sont prévenus : à compter de ce vendredi 8 décembre, ils doivent avoir supprimé toutes les applications de messageries non auditées par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). À la place, ministres et membres de leurs cabinets sont intimés de privilégier l'application française Olvid pour leurs échanges professionnels sur mobile et sur ordinateur, la seule plateforme de messagerie privée ayant reçu la certification de sécurité de premier niveau de l'ANSSI.

La consigne, formulée dans une circulaire signée par la cheffe du gouvernement Elisabeth Borne fin novembre, s'inscrit dans un climat sensible pour la confidentialité des échanges de nos dirigeants, dans le contexte de la multiplication des cyberattaques et des affaires d'espionnage. À un an des Jeux Olympiques de Paris 2024, où les experts s'attendent à voir exploser les opérations contre la France et ses institutions, les autorités souhaitent "une prise de conscience en matière de cybersécurité et une avancée vers une plus grande souveraineté française".

Dans la circulaire adressée aux membres du gouvernement, Matignon souligne aussi que "les principales applications de messageries instantanées grand public (...) occupent une place grandissantes dans nos communications (...) mais "ne sont pas dénuées de failles de sécurité". Alors, Olvid est-elle vraiment plus sécurisée que Signal ou WhatsApp ?

Les plus sécurisées : Olvid, Signal et WhatsApp

La messagerie française, créée en 2019 par des chercheurs en cryptographie, se situe dans le haut du panier en matière de sécurité. Comme WhatsApp et Signal, elle propose le chiffrement de bout en bout par défaut des messages, un procédé cryptographique qui garantit que personne ne peut les lire à l'exception des participants de la discussion, à moins d'avoir accès physiquement à l'un des appareils. 

Olvid se distingue des autres applications dans la mesure où elle n'a pas accès aux métadonnées de ses utilisateurs, les données relatives aux informations de connexion : qui appelle qui, à quelle heure, combien de temps. Cette couche de confidentialité supplémentaire est rendue possible par le fait qu'elle ne nécessite pas de numéro de téléphone pour fonctionner et ne s'appuie donc pas sur un annuaire centralisé. Son modèle ne repose pas sur la vente de données personnelles mais sur celle de licences professionnelles aux entreprises et aux organisations.

Mais cette conception particulière implique une utilisation plus complexe au quotidien : il faut ajouter manuellement chaque contact en s'échangeant un code à usage unique. Ce fonctionnement déroutant semblait rebuter certains membres du gouvernement ces derniers jours. Il devrait aussi freiner l'adoption d'Olvid auprès du plus grand nombre. Au dernier pointage, l'application comptait un peu plus de 100.000 actifs.

Signal, la messagerie sécurisée la plus réputée

La messagerie Signal, pionnière dans l'utilisation du chiffrement par défaut, propose un niveau de sécurité au moins comparable à celui d'Olvid. Son protocole de chiffrement est reconnu au niveau international par de nombreux experts et est utilisé par d'autres messageries comme WhatsApp ou Google Message. Signal a l'avantage d'avoir fait l'objet d'audits indépendants et d'avoir été testé à large échelle depuis une décennie. Et si la messagerie a pu être parfois prise à défaut sur des failles mineures, ces dernières ont été aussitôt corrigées. 

En revanche, Signal s'appuie sur le numéro de téléphone pour fonctionner, ce qui implique le traitement de métadonnées. Mais la messagerie assure qu'elles sont réduites à leur strict minimum. Signal a aussi la particularité de se financer essentiellement grâce aux dons et de ne pas dépendre de la monétisation des données de ses quelque 50 millions d'utilisateurs.

WhatsApp et Messages chiffrent aussi les discussions par défaut

Comme Olvid et Signal, WhatsApp chiffre le contenu des messages de ses 2 milliards d'utilisateurs par défaut. En revanche, conformément au modèle économique à la base du fonctionnement de Meta, l'application collecte, conserve et exploite une grande quantité de métadonnées issues de ces discussions, comme l'identité des participants, la date, l'heure, la durée de l'échange, le statut des messages, la lange utilisée ou le système d'exploitation. 

WhatsApp récupère aussi de nombreuses données personnelles, comme la photo de profil, les contacts WhatsApp, les numéros bloqués, les groupes et les achats réalisés dans l'application. Meta se réserve aussi la possibilité d'échanger ces informations avec des entreprises et des marques auxquelles elle a largement ouvert ses canaux de discussions pour leur permettre de faire des communications commerciales.

Apple propose aussi le chiffrement par défaut des discussions sur son application Messages. La marque en fait même un argument commercial face aux applications de SMS des smartphones Android concurrents et s'est toujours opposée aux tentatives des gouvernements d'affaiblir le chiffrement des messageries en instaurant des portes dérobées afin de faciliter les enquêtes de contre-terrorisme. Apple s'est dit par exemple prêt à bloquer Messages et Facetime au Royaume-Uni si une telle loi venait à être adoptée. À noter que la firme se réserve la possibilité de conserver certaines métadonnées relatives à l'utilisation de la messagerie durant 30 jours.

Messenger va bientôt relever son niveau de sécurité

Sur Messenger, le chiffrement de bout en bout n'est proposé que sous la forme d'une option à activer lors de la création d'une conversation dédiée. Cette fonction, ajoutée en 2016, est peu connue des utilisateurs, ce qui signifie que Meta peut accéder à la grande majorité des échanges privés qui sont tenus sur Messenger. Cela va bientôt changer : Meta a annoncé le 7 décembre que Messenger allait bientôt commencer à déployer le chiffrement par défaut pour toutes les conversations de ses 2 milliards d'usagers.

Régulièrement citée parmi les applications les plus sécurisées, Telegram est aussi un cas particulier. Les communications ne sont pas chiffrées par défaut sur l'application, qui se contente de chiffrer le contenu entre le téléphone et ses serveurs. Comme sur Mesenger, il faut créer un canal sécurisé dédié pour être protégé par le chiffrement. Mais lorsque vous échangez avec une personne ou dans un groupe classique sur Telegram, il n'y a pas de chiffrement de bout-en-bout. Cela signifie que Telegram peut intercepter la communication. 

WhatsApp et Messages les meilleurs compromis entre protection, fonctions ludiques et facilité d'usage

Pour le reste, les messageries d'Instagram, TikTok, Snapchat, Twitter, Tinder, Discord et plus largement les SMS des messageries installées par défaut sur les mobiles Android ne sont pas protégées par le chiffrement. Elles doivent donc être utilisées en ayant conscience que les messages peuvent être lus par ces entreprises ou par un tiers en cas de faille de sécurité.

Globalement, aucun service ne propose de solution parfaite en matière d'équilibre entre vie privée et facilité d'usage. Les utilisateurs ont le choix entre des messageries pratiques et attractives (Messenger, Instagram, Snapchat, Telegram, TikTok, Tinder, Twitter...) qui réunissent la majorité des contacts et sur lesquelles les conversations ne sont pas vraiment sécurisées, ou des applications chiffrées (Signal, Messages, WhatsApp, Olvid) qui garantissent un niveau de confidentialité élevé mais proposent moins de fonctionnalités ludiques et sociales ou peuvent être complexes à utiliser. WhatsApp et Messages se posent probablement comme les meilleurs compromis en la matière, tout en ayant l'inconvénient de collecter et exploiter un grand nombre de données pour la première, et d'être réservée à l'écosystème Apple pour la seconde.

Enfin, pour bénéficier d'une protection totale du chiffrement de bout en bout, il convient aussi de prendre en considération la question des sauvegardes des conversations. La plupart des messageries proposent en effet de les enregistrer dans le cloud pour pouvoir les retrouver sur d'autres appareils ou simplement les archiver. Ces données contenues dans le cloud doivent également être chiffrées de bout en bout pour que les plateformes ne puissent pas y accéder. 

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info