Autodéfense : protégez-vous avec Signal




Signal est recommandée comme l’application de messagerie confidentielle la plus aboutie en termes de sécurité. Présentation.

Signal est un logiciel libre édité par Open Whisper Systems, rendu célèbre après avoir été recommandé par Edward Snowden dès 2014. Signal a reçu en 2020 la note maximale de la Mozilla Foundation qui l’a décrite comme «  l’application de communication la plus sécurisée  ». Sa popularité a encore augmenté récemment, après les annonces de WhatsApp du 6 janvier dernier concernant sa politique de confidentialité qui ont déclenché une fuite massive vers Signal (7,5 millions de nouveaux téléchargements de l’application en 5 jours).

Les atouts sécurité de Signal

En plus de la messagerie textuelle de type SMS chiffrés (y compris en groupe), Signal prend en charge les appels vocaux et vidéo chiffrés jusqu’à 8 personnes. Bien qu’il s’agisse principalement d’une application mobile, une version bureau est disponible. L’application fonctionne sous iOS et Android, et elle est synchronisable sur Linux, Mac OS, et Windows. Sur mobile, on peut s’en servir pour envoyer également des SMS «  normaux  », non chiffrés, à des contacts qui n’auraient pas Signal.

Signal est gratuit et sans publicité. L’entreprise se finance essentiellement par des dons et avec le soutien de l’Open Technology Fund, agence gouvernementale américaine, qui contribue à de nombreux projets de ce type (notamment Tor). Du fait de cette source de financement, on pourrait craindre un conflit d’intérêt ou une infiltration policière, mais il s’agit d’une pratique très courante aux États-Unis. Jusqu’ici, Signal a démontré sa capacité à agir indépendamment et en toute transparence.

Grâce au chiffrement de bout en bout solide et décentralisé de Signal  [1], il n’est pas nécessaire de faire confiance à un tiers pour assurer la confidentialité de vos messages. Personne ne peut les lire ou voir vos appels, à part vous et vos destinataires. Les messages stockés sont également chiffrés sur le téléphone via un mot de passe. En plus du chiffrement, l’application dispose d’une protection contre la détection de la frappe au clavier et d’une fonction de message éphémère. Lorsque cette dernière est activée, les messages envoyés sont supprimés après lecture, sans laisser aucune trace, après un délai défini par vous et votre contact.

Signal permet également d’authentifier l’identité de son interlocuteur à travers un numéro de sécurité unique que vous pouvez vérifier auprès de votre contact. L’application dispose d’un fonctionnement basé sur les WebSockets  [2], rendant les services de communication de Google ou d’Apple optionnels. Les seules métadonnées que Signal dit retenir sont « La date et l’heure de l’inscription d’un utilisateur et la date de sa dernière connexion au service  ». Cette affirmation a été prouvée suite à la sollicitation du Grand Jury du district de Virginie. Il est enfin possible de télécharger le logiciel directement sur le site de Signal, sans passer par les catalogues propriétaires Google Play Store ou AppStore. Malheureusement Signal n’est pas disponible sur le catalogue libre F-Droid.

Ces différentes fonctionnalités, et sa nature de logiciel libre, en font une application bien plus sûre que ses concurrentes WhatsApp, Messenger (propriétés de Facebook), ou encore Telegram.

Quelques critiques subsistent

La critique la plus récurrente sur Signal porte sur l’absence d’anonymat dans le procédé d’inscription  : pour vous inscrire vous devez fournir votre numéro de téléphone. On notera toutefois que l’application n’a pas besoin de fonctionner sur le téléphone avec lequel elle a été enregistrée, il est donc possible d’utiliser une carte Sim prépayée ou un numéro temporaire pour créer son compte. De plus les ingénieures de Signal sont en train de développer une solution alternative sans numéro de téléphone.

Open Whisper Systems est une entreprise étatsunienne, donc relevant des lois étatsuniennes et sans aucun doute sous la surveillance de la NSA qui doit chercher le moyen de pénétrer Signal avec ses outils de surveillance. Dans une certaine mesure, Signal pourrait être compromis soit par une porte dérobée dans ses systèmes, soit par une ordonnance gouvernementale obligeant Open Whisper Systems à assister la NSA.

Récemment, une nouvelle fonctionnalité de Signal a fait s’élever plusieurs voix. En proposant la sauvegarde des profils d’utilisation (profil, numéro de téléphone et contacts), Signal héberge désormais des informations sur ses utilisateurs et utilisatrices là où aucune information n’était conservée auparavant. La fonctionnalité demeure optionnelle, mais le changement de philosophie qu’elle induit peut déplaire  [3].

D’autres menaces existent

Reste une faille principale de ce mode de communication  : à l’intérieur de chaque téléphone mobile, se trouve une puce exclusive à source fermée, appelée processeur de bande de base qui gère toutes les fonctions de communication du téléphone. Cette puce propriétaire pourrait permettre aux fournisseurs de services mobiles de contourner tout chiffrement utilisé par chaque application fonctionnant sur un téléphone. En théorie, ils pourraient accéder aux contenus en texte clair et en temps réel, au moment où les informations passent du statut chiffré à celui de déchiffré. Une faiblesse qui s’applique à n’importe quelle application de sécurité mobile.

Des menaces pèsent sur la possibilité d’utiliser des technologies de chiffrement en général, de nombreux gouvernements voyant cela d’un mauvais œil. À l’heure actuelle, l’application est bloquée en Égypte, aux Émirats arabes unis, à Oman et au Qatar. Sans grand succès, puisqu’Open Whisper Systems a ajouté une fonctionnalité  [4] permettant de contourner cette limitation. Seul l’Iran dispose d’un blocage efficace en raison des sanctions américaines qui bloquent également l’accès aux instances qui supportent cette fonctionnalité.

Signal est l’une des meilleures options à utiliser pour protéger vos échanges mobiles, un réflexe de plus à acquérir dans une société de plus en plus sécuritaire où la surveillance devient peu à peu la norme.

Ed (UCL Alpes-Provence)

[1Il combine le protocole X3DH (Extended Triple Diffie-Hellman), l’algorithme Double Ratchet, des pré-clés et utilise Curve25519, AES-256, et HMAC-SHA256 comme primitives cryptographiques.

[2Standard web désignant un protocole réseau visant à créer des canaux de communication full-duplex par-dessus une connexion TCP.

[3«  Une nouvelle fonctionnalité attire des critiques contre l’application sécurisée Signal  », Lemonde.fr, 13 juillet 2020.

[4Le domain fronting permet à un utilisateur de se connecter de manière sécurisée à un service interdit, tout en paraissant communiquer avec un site différent.

 
☰ Accès rapide
Retour en haut