L’ANSSI, gardienne de la cybersécurité française, tire une nouvelle sonnette d’alarme. Les messageries instantanées que nous utilisons quotidiennement – WhatsApp, Signal, Telegram – nous promettent une confidentialité absolue. Mais cette illusion ne résiste pas à une analyse rigoureuse. Fidèle à son approche pragmatique, l’agence nous rappelle que, en matière de sécurité, la réalité est plus nuancée. Dans un rapport récemment publié, elle identifie les solutions offrant le plus haut niveau de protection, avec une priorité donnée à la sécurité des agents de l’État, tout en éclairant, nous, citoyens, sur les risques liés à ces outils omniprésents.
On nous assure que nos conversations sont chiffrées, que nos vies privées sont préservées. Pourtant, la réalité est plus complexe. Prenons WhatsApp, par exemple : si tout semble verrouillé, le chiffrement dissimule une collecte massive de métadonnées. Qui parle à qui, à quelle heure, depuis quelle localisation – ce n’est pas le contenu des messages qui est exploité, mais tout ce qui gravite autour. Une véritable mine d’or pour les algorithmes et pour une entreprise comme Meta, maison mère de Facebook, qui ne cache plus son insatiable appétit pour nos comportements.
Telegram joue, de son côté, sur une ambiguïté encore plus dangereuse. Beaucoup la perçoivent comme une alternative sûre, alors que ses conversations ne sont chiffrées de bout en bout qu’en mode “secret”, une option largement méconnue ou ignorée par la majorité des utilisateurs. Le reste des échanges demeure vulnérable. En avril 2024, une vulnérabilité critique a été découverte, permettant l’exécution de code à distance via l’envoi de fichiers multimédias malveillants. Bien que cette faille ait été corrigée, elle illustre les risques persistants pour les utilisateurs. Contrairement à Signal, le protocole de chiffrement de Telegram manque de transparence, car il n’a pas fait l’objet d’audit externe par des experts en cybersécurité.
Ajoutons à cela les récents déboires de son fondateur, Pavel Durov, arrêté en France. Cette situation soulève des doutes quant à sa capacité à résister aux pressions. De surcroît, Telegram a récemment collaboré avec la justice française dans plusieurs enquêtes pénales. Certes, une initiative utile pour montrer patte blanche et faciliter la résolution d’affaires, mais un véritable coup de canif dans la sacro-sainte protection de la confidentialité et de l’anonymat.
Signal : la seule solution crédible aujourd’hui ?
Je l’ai déjà dit, mais il est essentiel de le répéter : si vous tenez réellement à la confidentialité de vos échanges, Signal reste aujourd’hui la seule messagerie digne de confiance. Edward Snowden, qui connaît mieux que quiconque les mécanismes de surveillance de masse, en a fait son outil de prédilection, et ce n’est pas un hasard.
Signal coche toutes les cases : sécurité, transparence et confidentialité. Contrairement à WhatsApp et Telegram, qui collectent des métadonnées ou compromettent partiellement leur chiffrement, Signal propose un modèle transparent et irréprochable. Son code est open source, vérifiable par tous, ce qui écarte tout doute quant à la présence de portes dérobées. Aucune publicité, aucune collecte de données personnelles, pas même de métadonnées : Signal ne sait ni qui vous êtes, ni avec qui vous parlez, ni où vous vous trouvez.
Sa force réside surtout dans le chiffrement de bout en bout, activé par défaut pour tous les échanges : conversations, appels audio et vidéo. Là où Telegram ne chiffre qu’une partie des communications, Signal ne laisse aucune place à l’interception de vos messages.
Le cas Barrot : quand l’État s’expose
Si l’ANSSI prend la parole aujourd’hui, c’est aussi pour rappeler à l’ordre les administrations publiques. Le piratage du téléphone de Jean-Noël Barrot, alors ministre des Affaires étrangères, illustre cette fragilité. L’attaque, simple mais efficace, a été rendue possible par un phishing de qualité. Un simple clic sur un lien piégé, et ses échanges étaient compromis. Bien que cette attaque ait eu lieu via Signal, elle souligne que même l’outil le plus sécurisé ne résiste pas à un manque de vigilance.
Ce qui frappe encore plus, c’est le refus du ministre de remettre son téléphone pour une analyse technique, révélant un malaise profond. Comment sécuriser un État si ses membres rechignent à appliquer les bonnes pratiques ? Cet épisode rappelle une vérité fondamentale : les outils ne suffisent pas. La sécurité repose avant tout sur la vigilance humaine.
Olvid et Tchap : des solutions françaises, mais pour qui ?
L’ANSSI recommande également des alternatives françaises. Tchap, conçu pour l’administration publique, offre une sécurité rigoureuse, mais reste inaccessible aux citoyens. Quant à Olvid, c’est sans doute la solution la plus sérieuse à ce jour, certifiée par l’ANSSI. Elle se distingue par l’absence de numéro de téléphone requis et par un stockage de contacts inexistant. La sécurité est quasi-infaillible.
Le principal obstacle ? L’expérience utilisateur. Avant de pouvoir échanger, il faut passer par un échange de QR codes et de codes secrets. Efficace, certes, mais rebutant. Voilà tout le problème : la sécurité exige des efforts. Tant que les solutions les plus sûres seront aussi complexes, elles resteront réservées aux technophiles ou aux usages les plus sensibles.
Sécurité ou commodité : il faudra choisir
Le cœur du problème dépasse les outils. La question centrale est notre capacité à bien les utiliser. Même avec Signal, si vous n’activez pas l’authentification multifacteur ou laissez vos messages visibles sur un écran déverrouillé, vous vous exposez. La sécurité est une discipline, un effort quotidien.
La tendance amorcée par Olvid – supprimer le numéro de téléphone comme identifiant – est prometteuse. Signal progresse aussi dans cette direction en permettant de masquer son numéro. Mais cette évolution reste encore timide.
Le dernier rempart : la vigilance individuelle
Il ne s’agit pas uniquement de se protéger contre l’exploitation commerciale ou les habitudes d’achat. L’enjeu véritable est la sécurité de nos échanges, de nos informations personnelles et de nos identités. Même avec un chiffrement robuste, la récupération de données sensibles reste possible si nous manquons de rigueur dans nos pratiques.
L’ANSSI a raison d’être alarmiste : les failles ne sont pas seulement techniques, elles sont humaines. La confidentialité n’intéresse souvent personne… jusqu’à ce qu’il soit trop tard. La responsabilité repose sur chacun d’entre nous. Soyons exigeants, appliquons les bonnes pratiques, et refusons les compromis sur notre sécurité.
