Accueil > Protégez Votre Vie Privée > Solutions > Communication Chiffrée > 5 Meilleures applications de messagerie chiffrée

5 Meilleures applications de messagerie chiffrée

  • par

Ces deux dernières années ont connu une petite révolution dans le domaine des messageries privées et sécurisées. Le développement du protocole Signal ultra-sécurisé a conduit à une surabondance d’applications de messagerie chiffrée, et même Facebook Messenger, WhatsApp et Microsoft Skype ont rejoint la cohorte des applications de messagerie chiffrée.

Malgré cela, le problème de confidentialité avec des applications de messagerie comme Facebook, WhatsApp, Skype et bien d’autres encore demeure entier dans la mesure où il s’agit d’applications fermées. Bien qu’elles puissent utiliser le protocole Signal open-source et hautement audité, il n’y a aucun moyen de vérifier comment il a été mis en œuvre.

En outre, il s’agit d’entreprises connues pour leur faible préoccupation de la protection de la vie privée des utilisateurs. A cela vient s’ajouter, la pression permanente exercée par tous les gouvernements pour que les entreprises technologiques introduisent des “portes dérobées” dans leurs applications de messagerie.

Facebook et autres consorts vont-ils céder à de telles demandes ? Qui sait ? Mais surtout, s’ils l’ont déjà fait, nous pourrions ne jamais le savoir. C’est pourquoi, nous vous avons sélectionné, dans cet article, cinq applications de messagerie instantanée chiffrée et open source, qui sont autant d’excellentes alternatives à tous les messengers populaires de Facebook, Google, Microsoft et autres Line, WeChat etc. venus d’Asie.

  • Signal : disponible pour Android, iPhone, Windows, macOS, Linux basé sur Debian. Sur ordinateur, la communication n’est possible qu’avec d’autres utilisateurs de Signal (et non via des SMS réguliers non sécurisés destinés à des non-utilisateurs).
  • Wire : disponible pour Android, iOS, Windows, macOS, Linux, et via une application web.
  • Riot.im : disponible pour Android, iOS, Windows, Linux, macOS et via une application web. Sur Android, l’application est disponible sur le Play Store et sur F-Droid.
  • Tox : disponible pour Windows, macOS, Linux, BDS, Android (alpha uniquement), iOS
  • Ricochet : disponible pour Windows, macOS, Linux.

Des applications de messagerie chiffrée et open source

Après de solides tests et recherches, nous avons trouvé cinq applications de messagerie que nous estimons parmi les plus sûres. Toutes ces applications ont d’excellentes fonctionnalités et offrent également un niveau de chiffrement élevé.

Notez que nous avons délibérément omis d’inclure Telegram dans cette liste parce que nous ne le considérons pas comme une messagerie suffisamment privée et sécurisée.

applications de messagerie chiffrée - Logo Signal

#1 Signal

Signal est à la fois le nom d’une application et celui d’un protocole de messagerie sécurisée développé par l’entrepreneur américain, cryptographe et défenseur de la vie privée Moxie Marlinspike. Le protocole open-source Signal a été incorporé dans un grand nombre de produits tiers, dont beaucoup, comme Facebook Messenger, WhatsApp et Skype, sont eux-mêmes en code source fermé.

Signal est disponible sous :

Capture d'écran de l'Application Signal sur l'AppStore
Application Signal sur l’AppStore
NomSignal
PaysÉtats-Unis
Open SourceOui
ChiffrementDe bout en bout (E2EE) Protocole de Signal
FonctionnalitésEnvoi de messages (texte, audio, vidéo), Appels audio & vidéo, Envoi de fichiers, de photos, localisation, Gifs, Messagerie de Groupe, Suppression conversation, Messages éphémères
ApplicationsWindows, MacOS, Linux, Android, iOS
Prix Gratuit
Inscription anonymeNon (Num tél)
Site WebSignal.org

L’essentiel à retenir

L’application Signal est l’expression et un pur produit de Signal. Elle est entièrement open-source et a fait l’objet d’un audit formel pour détecter les vulnérabilités de sécurité.

Et contrairement aux autres implémentations du protocole en source fermée, les seules informations de métadonnées conservées par l’application Signal ou ses développeurs sont “la date et l’heure d’enregistrement d’un utilisateur auprès de Signal et la dernière date de connexion d’un utilisateur au service Signal“. Il s’agit d’une affirmation qui a été prouvée devant les tribunaux.

Tous les messages texte, les appels vocaux et les appels vidéo sont protégés grâce à une combinaison de clés X3DH (Extended Triple Diffie-Hellman), de l’algorithme Double Ratchet et de pré-clés. Signal utilise Curve25519, AES-256 et HMAC-SHA256 comme primitives cryptographiques.

Signal est largement considéré comme le protocole de messagerie e2ee (chiffré de bout en bout) le plus sûr jamais inventé. Bien qu’il soit disponible sur le Play Store, les utilisateurs d’Android qui ont la phobie de Google peuvent télécharger une version APK de l’application sans services Google Play via le site officiel de Signal.

La facilité d’utilisation est un autre atout de Signal. Signal remplace le client SMS habituel de votre téléphone. Les messages texte vers et depuis des contacts non-Signal sont envoyés par SMS et ne sont pas sécurisés. Mais les messages envoyés aux autres utilisateurs de Signal sont chiffrés grâce au protocole Signal. Vous pouvez également engager des conversations vocales et vidéo sécurisées avec d’autres utilisateurs Signal.

La beauté de ce système est que l’utilisation de Signal est presque transparente, ce qui devrait permettre de convaincre plus facilement les amis, la famille et les collègues d’utiliser réellement l’application.

Cette facilité d’utilisation, cependant, est aussi celle qui suscite le plus de critiques. Parce qu’il est conçu pour remplacer votre client SMS habituel, Signal exige que vous vous inscriviez avec un numéro de téléphone valide qu’il utilise pour faire correspondre les contacts.

Cependant, Signal ne peut pas voir vos contacts, et votre liste de contacts n’est accessible qu’à vous. Les vrais paranoïaques peuvent s’inscrire en utilisant un téléphone jetable ou une carte SIM, car une fois inscrite, l’application Signal n’a pas besoin de fonctionner sur le téléphone avec lequel elle a été enregistrée.

Veuillez consulter notre revue complète de Signal pour un aperçu détaillé de cette importante application de messagerie.

applications de messagerie chiffrée - Logo Wire

#2 Wire

Wire est une plateforme de messagerie, de voix et de vidéo chat open-source chiffrée de bout en bout (e2ee) développée par la société suisse Wire Swiss GmbH. Elle est particulièrement réputée pour ses puissantes fonctionnalités de chat de groupe et de vidéoconférence, et pour son interface utilisateur très intuitive.

Wire est disponible sous :

Capture d'écran de l'Application Wire Messenger
Application Wire Messenger
NomWire
PaysSuisse (& États-Unis)
Open SourceOui
ChiffrementDe bout en bout (E2EE) Protocole Proteus
FonctionnalitésEnvoi de messages (texte, audio, vidéo), Appels audio & vidéo, Envoi de fichiers, de photos, localisation, Gifs, Guest Rooms, Messagerie de Groupe, Dessin/Écriture manuscrite, Éditeur texte riche intégré, Application multi-comptes, Suppression conversation tous périphériques
ApplicationsWindows, MacOS, Linux, Android, iOS et Webapp
Prix Gratuit
Inscription anonymeOui
Site WebWire.com

L’essentiel à retenir

Les partisans de l’application Wire la préfèrent à Signal, principalement parce qu’il n’est pas nécessaire d’avoir un numéro de téléphone pour s’inscrire. Vous pouvez choisir de fournir votre numéro de téléphone pour que les autres utilisateurs puissent vous trouver facilement, mais vous pouvez utiliser une adresse électronique (potentiellement jetable) à la place, et vous identifier avec un nom d’utilisateur de votre choix.

En revanche, Wire collecte beaucoup plus de métadonnées que Signal afin d’assurer une synchronisation fluide entre les plateformes, notamment des journaux en texte clair des personnes qu’un utilisateur a contactés.

Il s’agit d’un compromis légitime entre sécurité et commodité, mais cela signifie que les gens doivent soigneusement étudier leur modèle de menace avant d’utiliser Wire. Pour ce que ça vaut, Ed Snowden ne recommande que deux messageries privées : Signal et Wire.

Les messages sur Wire sont chiffrés avec Proteus, qui est une itération précoce de ce qu’est devenu le protocole Signal. Comme Signal, il utilise OTR avec un algorithme du Double Rachet (ChaCha20, HMAC-SHA256, échange de clés Diffie-Hellman à courbe elliptique, et HKDF pour la génération des clés).

Comme c’est toujours le cas avec la cryptographie JavaScript basée sur le navigateur, il y a un danger que le serveur pousse du code compromis et malveillant lorsque vous utilisez Wire dans votre navigateur. Ce n’est pas un problème lorsque vous utilisez une application dédiée.

Les premières critiques de Proteus ont entamé la confiance du public dans Wire. Mais elles ont été prises en compte, et les conclusions d’une série d’audits indépendants des produits Wire ont été très rassurantes.

Bien qu’il soit open-source, Wire est un produit commercial. Il est gratuit pour un usage personnel, mais des forfaits payants pour les entreprises sont également disponibles.

Malheureusement, Wire a récemment été vendue ou transférée à une société américaine et il lui a fallu quelques temps, pour confirmer qu’elle avait changé de holding et qu’elle serait désormais une société basée aux États-Unis. De fait, nous avons dû sortir Wire de nos recommandations prioritaires, même si nous reconnaissons qu’à ce stade, Wire reste (jusqu’à preuve du contraire) une solution incroyablement plus sûre et une bien meilleure alternative à Messenger, WhatsApp, Skype, Viber, Line, WeChat etc.

Vous pouvez lire notre revue complète de Wire pour un aperçu détaillé de cette application de messagerie, véritablement multi-plateforme.

applications de messagerie chiffrée - Logo Riot.im

#3 Riot.im

Riot.im est une plateforme de communication texte, voix et vidéo chiffrée de bout en bout (e2ee) et totalement open source. Outre un système fédéré, ce qui distingue Riot des applications telles que Signal and Wire est l’utilisation du protocole de communication Matrix.

Riot est disponible sous :

Capture d'écran de l'Application Riot.im sur le Google Play Store
Application Riot.im sur le Google Play Store
NomRiot.im
PaysRoyaume-uni
Open SourceOui
ChiffrementDe bout en bout (E2EE) Protocole Matrix
FonctionnalitésEnvoi de messages texte, Appels audio & vidéo, Partage de fichiers, photos, vidéo-conference groupe, salons de discussion privés ou publics, notifications
ApplicationsWindows, MacOS, Linux, Android, iOS et Webapp
Prix Gratuit
Inscription anonymeOui
Site WebAbout.riot.im

L’essentiel à retenir

Un système fédéré signifie qu’au lieu de se connecter à des serveurs centralisés gérés par les opérateurs de la plateforme, les utilisateurs peuvent configurer leurs propres serveurs ou se connecter à l’un des nombreux serveurs Matrix que d’autres ont mis en place.

Un autre point fort de Matrix est qu’il permet la communication entre les utilisateurs de différents logiciels de messagerie, pour autant qu’ils supportent tous Matrix. Les serveurs Matrix sont également interopérables, de sorte que la connexion à n’importe quel serveur Matrix vous permet de communiquer avec n’importe quel utilisateur de Matrix.

En effet, les serveurs Matrix peuvent même faire fonctionner des “ponts” qui permettent la communication entre les utilisateurs de Matrix et les utilisateurs d’autres plateformes de messagerie telles que Signal, Slack, IRC XMPP, et même des applications comme Facebook Messenger, WhatsApp et Google Hangouts.

Cette approche décentralisée résout un problème qu’Ed Snowden a lui-même identifié avec ses recommandations plus centralisées sur les messageries privées. Mais si la fédération en tant que dispositif de protection de la vie privée a de nombreux fans, l’idée reste controversée.

Comme pour Wire, vous pouvez vous inscrire en utilisant un numéro de téléphone ou une adresse électronique. Vous pouvez également ajouter une adresse électronique à votre compte afin de permettre aux autres utilisateurs de vous trouver plus facilement, ou vous pouvez choisir de n’être identifié que par le nom d’utilisateur que vous avez choisi.

L’option par défaut est de se connecter au grand serveur public géré par matrix.org, mais vous pouvez à la place vous connecter à n’importe quel serveur Matrix créé par un utilisateur. Il est même possible de déployer votre propre service de chat sécurisé en quelques secondes en utilisant les serveurs Matrix hébergés par Modular.

Matrix utilise l’implémentation Olm de l’algorithme Double Ratchet, avec Megolm (un cliquet cryptographique basé sur AES) pour les communications de groupe. Les primitives cryptographiques utilisées comprennent les clés Ed25519 et Curve25519, AES-256-CBC et HMAC-SHA256, avec un secret de transmission fourni par un échange de clés Triple Diffie-Hellman.

Ni Riot ni Matrix n’ont fait l’objet d’un audit complet, bien que Olm et Megolm l’aient fait. Riot.im a été critiqué par le passé pour son interface utilisateur plutôt basique, mais ce n’est plus vrai. Il est toujours à la traîne par rapport à l’interface futuriste de Wire, mais Riot est désormais un messenger très performant dont les fonctionnalités sont souvent comparées à celles de la messagerie collaborative d’entreprise, Slack.

applications de messagerie chiffrée - Logo Tox

#4 Tox

Tox est un protocole, plutôt qu’une application ou un client réel. Il existe cependant un certain nombre d’applications open-source qui utilisent le protocole Tox.

Tox est disponible sous :

Capture d'écran de l'Application Antox sur le Google Play Store
Application Antox sur le Google Play Store
NomTox
PaysÉtats-Unis
Open SourceOui
ChiffrementDe bout en bout (E2EE) Protocole Tox
FonctionnalitésEnvoi de messages texte, Appels audio & vidéo, Partage d’écran et de fichiers, photos, discussions de groupe
ApplicationsWindows (qTox, uTox, Toxygen), MacOS (qTox, uTox, Toxic), Linux, Android (Antox), iOS (Antidote)
Prix Gratuit
Inscription anonymeOui
Site WebTox.chat
Capture d'écran de l'Application qTox sous MacOS
Capture d’écran de l’Application qTox sous MacOS

L’essentiel à retenir

Tox a poussé l’idée de la décentralisation encore plus loin que Riot.im en fournissant un véritable réseau de communication poste à poste (P2P) qui fonctionne sans qu’il soit nécessaire d’acheminer les données par des serveurs centralisés (fédérés ou non).

Les utilisateurs sont identifiés par un identifiant Tox, mais l’une des conséquences de la plate-forme P2P est que les contacts de Tox peuvent voir les adresses IP des autres contacts. La documentation officielle suggère une solution de contournement qui consiste à router vos connexions Tox à travers Tor, bien que nous ne voyons pas pourquoi le routage à travers un VPN ne fonctionnerait pas aussi (à condition que l’utilisation d’un VPN ne fournisse pas l’anonymat que Tor fournit).

Si vous faites passer vos connexions Tox par Tor, alors les limitations de vitesse du réseau Tor signifient que les communications seront, en réalité, en mode texte uniquement. Sinon, la plupart des clients Tox supportent une gamme complète de fonctionnalités de chat vocal et vidéo, de partage de fichiers et de chat de groupe.

Tox utilise les primitives cryptographiques présentes dans la cryptothèque NaCl, via libsodium. Il utilise curve25519 pour ses échanges de clés, xsalsa20 pour le chiffrement symétrique et poly1305 pour l’authentification des messages.

Il s’agit de primitives bien établies, mais ni le protocole Tox ni aucune application basée sur celui-ci n’ont fait l’objet d’un audit indépendant approprié. En effet, le site web de Tox lui-même indique clairement que le protocole Tox est encore en cours de développement, donc attendez-vous à rencontrer quelques bogues.

Applications de messagerie chiffrée - Logo Ricochet

#5 Ricochet

Si vous avez besoin d’un véritable anonymat sur Internet, alors Tor, comme toujours, est votre meilleure chance. Ricochet est une messagerie multiplateforme (pour ordinateur uniquement) qui permet de communiquer anonymement avec des contacts via un service Tor caché.

Ricochet est disponible sous :

L’essentiel à retenir

Avec Ricochet, il n’est pas nécessaire de faire confiance en qui que ce soit, et comme pour Tox, il n’y a pas de serveurs qui peuvent être piratés, surveillés ou censurés. Les utilisateurs sont identifiés uniquement par leur nom d’écran (par exemple : ricochet:fkrtg39klskd), qui est généré automatiquement lors du premier démarrage de Ricochet.

Les connexions sont sécurisées par Tor, qui utilise un système de chiffrement complexe. Malgré de nombreuses attaques de haut niveau (dont certaines ont eu un succès limité), Tor reste hautement sécurisé. Veuillez consulter notre revue de Tor pour plus de détails.

Ricochet a lui-même été audité, les résultats ont été “raisonnablement positifs”, et la plupart des “multiples domaines d’amélioration” ont depuis été patchés (y compris la seule vulnérabilité critique découverte).

Comme son site web l’indique clairement, Ricochet constitue encore aujourd’hui une expérience, que les utilisateurs devraient inclure dans leur modèle de menace lorsqu’ils décident de l’utiliser ou non. Mais pour ceux qui ont besoin d’une communication anonyme avec zéro confiance en qui que ce soit, Ricochet est sans doute la meilleure option disponible (et certainement meilleure que le routage de Tox par Tor).

Ricochet est un client de messagerie texte uniquement, mais de réels efforts ont été faits pour fournir une interface utilisateur attrayante et fonctionnelle.

Conclusion

Chiffrement de bout en en bout

Également appelé chiffrement côté client, le chiffrement de bout en bout (e2ee) signifie que vos messages (et les chats vocaux et vidéo) sont chiffrés sur votre appareil et ne peuvent être consultés que par le destinataire prévu.

En d’autres termes, vous ne faites pas confiance à un tiers pour effectuer le chiffrement à votre place, et qui aurait ainsi accès à vos messages non chiffrés. Jusqu’à récemment, la plupart des applications de messagerie étaient de ce type et étaient fondamentalement peu sûres et non privées.

Mais comme nous l’avons déjà mentionné, cette situation a beaucoup changé depuis ces deux dernières, au point qu’on peut presque supposer que les applications de messagerie utilisent systématiquement e2ee. En supposant bien entendu, qu’elles font ce que leurs développeurs disent faire.

Open source

Personne ne prétend que l’open-source est parfait, mais avoir un code qui peut être examiné et audité à tout moment est la seule garantie possible qu’une application fait ce qu’elle est censée faire, et seulement cela.

C’est pourquoi nous considérons que seules les applications de messagerie à code source ouvert méritent d’être prises en considération dans cet article.

Lisez notre article ici pour en savoir plus sur l’importance de l’open source en matière de confidentialité et de sécurité.