» Solutions » Communication Chiffrée » Notre avis sur Signal Messenger

Notre avis sur Signal Messenger

  • Pypo 

Très médiatisée depuis les révélations de Snowden en 2013, Signal est à la messagerie instantanée ce que Tor est au navigateur Internet : le Saint Graal de la confidentialité. Considéré par beaucoup comme le moyen le plus sûr et le plus privé de communiquer à distance jamais conçu, Signal est une application de messagerie instantanée open source éditée par Open Whisper Systems. Multiplateforme, l’application supporte les systèmes d’exploitation Linux, MacOS, Windows, iOS et Android.

Introduction à Signal Messenger

Signal est avant tout une application de messagerie sécurisée et open source qui remplace toutes les fonctions de communications de votre iPhone jusqu’à l’application SMS régulière de votre téléphone Android. Les messages à destination et en provenance d’autres utilisateurs de Signal sont envoyés sur Internet et protégés par un chiffrement de bout en bout très fort.

Certains dont Edward Snowden, le lanceur d’alertes américain réfugié en Russie depuis juillet 2013, considèrent Signal comme la meilleure application de messagerie open source au monde et la plus aboutie en terme de sécurité. Nous verrons si nous partageons exactement le même avis au terme de cet examen.

Notez bien que l’application fonctionne différemment selon que vous êtes sur iOS ou sur Android. Le second offre la possibilité de remplacer complètement votre messager SMS par Signal. Les messages à destination et en provenance de contacts “non signalisés” sont alors envoyés par SMS ordinaire et ne sont pas sécurisés. Lorsque vous envoyez un message texte non sécurisé, vous êtes averti qu’il n’est pas sécurisé et vous êtes encouragé à inviter votre contact à utiliser Signal.

Cette configuration garantit une utilisation transparente de l’application lors de l’envoi de messages texte à la fois aux autres utilisateurs de signal et aux non-utilisateurs. Parce qu’il est conçu pour remplacer votre client SMS habituel sur Android, Signal exige que vous vous inscriviez avec un numéro de téléphone valide. Sur iPhone où l’application ne remplace pas iMessage, vous devez également vérifier votre inscription avec votre numéro de téléphone. Je reviendrai sur cette question un peu plus loin.

Signal Messenger sous iOS

L’intérêt de ce programme, notamment pour les appareils Android, est qu’il est presque transparent dans son utilisation, ce qui facilite la tâche pour convaincre amis, famille et collègues d’utiliser l’application.

En plus de la messagerie texte et SMS, Signal prend également en charge la voix sécurisée (VoIP) et les appels vidéo entre utilisateurs. Bien qu’il s’agisse principalement d’une application mobile, elle existe également en version de bureau.

Disponible sous :

Chiffrement

Tous les messages sécurisés sont chiffrés sur votre téléphone avant d’être envoyés, et ne peuvent être déchiffrés que par le(s) destinataire(s) prévu(s).

Il n’est donc plus nécessaire de faire confiance à un tiers pour assurer la sécurité de vos données, et aucun tiers ne peut accéder aux messages lors de leur transmission. Le seul moyen pour un adversaire d’accéder aux messages envoyés par Signal est un accès physique direct à votre téléphone ou à celui du destinataire.

Même dans ce cas, Signal inclut l’option de crypter tous les messages stockés, ce qui rend l’accès impossible à moins que le propriétaire du téléphone soit contraint de révéler son mot de passe d’une manière ou d’une autre.

Rappelez-vous simplement que les messages envoyés à des utilisateurs non-Signal ne sont pas sécurisés.

Les messages sont cryptés à l’aide du protocole de Signal, qui est sans doute le protocole de messagerie texte le plus sécurisé jamais développé par la société Open Whisper Systems. Il combine le protocole X3DH (Extended Triple Diffie-Hellman), l’algorithme Double Ratchet, des pré-clés et utilise Curve25519, AES-256, et HMAC-SHA256 comme primitives cryptographiques.

Depuis mars 2017, les appels vocaux et vidéo sont cryptés à l’aide du même protocole de chiffrement qui sécurise les messages texte.

Fonctions de sécurité supplémentaires

Les messages et les notifications peuvent être verrouillés à l’aide d’une phrase de passe et vous pouvez choisir d’utiliser un “clavier incognito” qui n’apprendra rien de votre frappe. Signal permet également de faire disparaître les messages, ce qui est similaire à la fonction des messages éphémères de Wire.

Tout comme Wire, Signal fournit également un mécanisme permettant de vérifier l’identité de vos contacts. Chaque conversation a un numéro de sécurité unique (empreinte digitale) que vous pouvez comparer avec les autres participants et marquer comme vérifié lorsque vous êtes sûr de leur identité.

Quelques critiques

Certains choix dans la conception de Signal et dans la vie de l’entreprise qui porte cette application apportent légitimement son lot d’interrogations et de critiques.

Inscription pas anonyme

Pour vous inscrire et pouvoir utiliser l’application Signal, cette dernière a besoin de numéros de téléphone réels (dont le vôtre) pour faire correspondre les contacts. Ceci est naturellement considéré par certains, dont je fais partie, comme une atteinte à la vie privée. Je préférerais un système de découverte des contacts basé sur des adresses électroniques ou des noms d’utilisateur anonymes, comme le fait Wire Messenger.

Il y a toutefois deux facteurs atténuants très importants en faveur de Signal sur cette question :

  • Signal ne peut pas voir vos contacts et votre liste de contacts n’est accessible que par vous.
  • Vous pouvez vous inscrire à l’aide d’un téléphone jetable ou d’une carte SIM prépayée. Une fois enregistrée, l’application Signal n’a pas besoin de fonctionner sur le téléphone avec lequel elle a été enregistrée.

Services Google

Jusqu’à récemment, Signal pour Android n’était disponible que sur la boutique Google Play Store, et nécessitait donc l’utilisation des services Google Play. Bien que Moxie Marlinspike ait vigoureusement défendu cette décision, beaucoup l’ont considérée comme un problème de sécurité majeur car cela permet à Google d’effectuer une surveillance extensive de bas niveau sur les appareils des utilisateurs.

Signal vous recommande toujours de télécharger l’application via le Google Play Store, mais il est maintenant également possible de télécharger gratuitement un fichier .apk de Signal directement depuis le site officiel.

Confidentialité et Vie privée

L’utilisation du protocole développé par Signal n’empêche pas une entreprise utilisatrice (WhatsApp, Skype, Facebook Messenger par exemple) de conserver des informations horodatées sur les communications des utilisateurs et de leurs correspondants. Pour autant, les seules métadonnées que Signal dit retenir sont “la date et l’heure de l’inscription d’un utilisateur et la date de sa dernière connexion au service Signal”. Cette affirmation a été prouvée devant les tribunaux.

D’autres entreprises qui ont incorporé le protocole de Signal dans leurs produits, cependant, peuvent ne pas avoir une attitude aussi ferme à l’égard de la protection de la vie privée des utilisateurs. Si vous voyez celles auxquelles je pense, Facebook ou Microsoft pour ne citer qu’elles.

Financement

Comme souvent pour d’autres projets open source de haut vol tels que le projet Guardian (créateurs de ChatSecure et Orbot) et le projet Tor lui-même, Whisper Systems, la société mère de Signal, reçoit une généreuse contribution financière des agences gouvernementales américaines.

De nombreux militants de la protection de la vie privée et développeurs de logiciels libres soutiennent que, peu importe d’où vient le financement, lorsque celui-ci est nécessaire au développement de systèmes sécurisés, tant il est très difficile généralement d’en obtenir.

Cette question du financement a toutefois amené certains à s’interroger sur l’intégrité de ces allégations. Malgré ces préoccupations (qui touchent presque tous les grands projets de sécurité open source), Signal semble être l’une des applications les plus sécurisées actuellement disponibles.

Le processeur de bande de base

À l’intérieur de chaque téléphone mobile se trouve une puce exclusive à source fermée appelée processeur de bande de base qui gère toutes les fonctions de communication du téléphone. Étant donné le peu de choses que l’on connait sur cette puce propriétaire (par nature), il y a toutes les raisons de croire qu’elle pourrait permettre aux fournisseurs de services mobiles de contourner tout cryptage utilisé par chaque application fonctionnant sur un téléphone mobile.

En théorie, ils pourraient accéder au contenu d’un téléphone en texte clair et en temps réel par le simple moyen d’y accéder au moment où les informations passent du statut chiffré à celui de déchiffré. Il s’agit là d’une “faiblesse” potentielle dans tous les logiciels de sécurité mobile, pas seulement de Signal.

Il convient également de souligner qu’un adversaire utilisant de telles méthodes pour espionner les communications cryptées des utilisateurs de smartphones devrait être très puissant (comme par exemple, la NSA) et devrait presque certainement cibler spécifiquement le téléphone d’une personne en particulier. Il semble peu probable que ceci puisse être fait à grande échelle, dans le cadre d’un espionnage global de masse.

Juridiction USA

Open Whisper Systems est une entreprise américaine installée à San Francisco donc relevant des lois américaines et sans aucun doute sous la très grande surveillance de la NSA. L’agence doit être, très certainement, sur le pied de guerre permanent pour trouver le moyen d’intégrer Signal dans ses outils de surveillance.

Dans quelle mesure, Signal pourrait être compromis soit par une porte dérobée dans ses sytèmes, soit par une ordonnance gouvernementale l’obligeant à assister la NSA, reste selon moi, une option complètement ouverte. C’est pourquoi, je continue de privilégier dans la mesure du possible, des applications et des entreprises situées hors des USA et prioritairement en Europe.

Où Signal est-il bloqué ?

En réponse au blocage de l’Égypte en décembre 2016, Signal a introduit le fronting de domaine. Cela permet aux utilisateurs de Signal dans certains pays de contourner la censure en donnant l’impression qu’ils se connectent à un service Internet différent.

Le fronting de domaine est actuellement activé par défaut en Égypte, aux Émirats Arabes Unis, à Oman et au Qatar, de sorte que les utilisateurs de ces pays peuvent accéder à Signal comme les autres.

Malheureusement, les utilisateurs en Iran n’ont pas cette chance. La fonctionnalité de fronting de domaine de Signal repose sur le service Google App Engine qui n’est pas disponible en Iran en raison du respect par Google des sanctions américaines. Les lecteurs iraniens cherchant à accéder à Signal peuvent en revanche utiliser une application VPN et télécharger le fichier .apk via le site web de Signal.

Comment fonctionne Signal ?

Signal fait-elle aussi bien que WhatsApp, Telegram, Viber, Skype et les autres ? En quoi est-elle différente des autres applications de messagerie instantanée ? Je vous propose que nous le découvrions ensemble ici.

Une fois téléchargée pour votre smartphone Android ou votre iPhone, vous découvrirez avec étonnement peut être que, pour fonctionner, celle-ci nécessite la vérification du numéro de téléphone.

Comme beaucoup de messagerie en direct, Signal nécessite des autorisations d’accès à la localisation, au téléphone, aux contacts, aux SMS et au stockage pour fonctionner sur l’OS Android. L’application vous demandera d’activer ces permissions lorsque vous l’exécuterez pour la première fois. Une fois que vous les aurez accordé, vous serez invité à en faire l’application SMS par défaut de votre appareil.

Lorsque vous utilisez Signal comme application par défaut pour l’envoi des SMS, le programme importe les messages texte de votre téléphone vers une base de données sécurisée. La base de données est sauvegardée sur le téléphone de l’utilisateur. Il n’y a pas d’option pour annuler la tâche d’importation des SMS.

Signal considère tous les messages importés comme non lus. Une fois la tâche d’importation terminée, vous verrez des centaines de notifications de Signal. L’application vous permet de trouver les messages par leur contenu textuel. Il permet aux utilisateurs de supprimer les SMS en masse.

Notez que les utilisateurs ne peuvent pas choisir la carte SIM (dans le cadre d’une dual sim notamment) qu’ils veulent utiliser pour envoyer des SMS. Signal lit le réglage du système “carte SIM préférée” pour sélectionner la carte SIM.

En cours d’utilisation, il agit exactement comme votre messager SMS régulier lorsque vous traitez avec des utilisateurs non-Signal, à l’exception de l’affichage d’une option pour les inviter à utiliser Signal.

Lorsque vous envoyez un message à d’autres utilisateurs Signal, vous en êtes averti et les messages sont cryptés de manière sécurisée. Vous pouvez également commencer une conversation vocale, vidéo ou en groupe avec eux. Les conversations sécurisées par Signal sont transmises sur Internet et (à l’exception des frais de bande passante de votre fournisseur de services Internet ou de votre fournisseur de services mobiles qui peuvent s’appliquer) sont gratuites.

Multi-plateforme et open source

Un logiciel libre est un logiciel dont le code source a été rendu public par son auteur. Cela signifie qu’il peut faire l’objet d’une vérification indépendante pour déceler les erreurs et s’assurer qu’il ne fait pas quelque chose qu’il ne devrait pas faire. Signal a fait l’objet d’un audit entièrement indépendant en 2016 et s’est avéré être sécurisé.

Avec un code source fermé, il n’y a aucun moyen de savoir ce que le code fait réellement. On ne peut pas faire confiance à un code source “propriétaire” fermé pour garder des communications privées, sécurisées.

Multi-Plateforme Télécharger Signal

Pour cette unique raison, vous ne devriez faire confiance qu’aux applications open source telles que Wire et Signal pour garder vos communications sécurisées et privées.

Fonctions avancées

Outre les fonctions de base d’envoi de messages texte, d’appels audio et vidéo, Signal permet également, le partage de fichiers, de photos, de sa localisation, d’images GIF, d’informations de contacts et de clips audio.

Signal prend en charge les modes sombres et clair. Vous basculez de l’un à l’autre depuis les paramètres. En revanche, vous ne pouvez pas changer l’image ou la couleur d’arrière-plan de l’interface de chat dans cette application.

Mais, Signal a aussi quelques fonctions avancées bien pensées :

Messages éphémères

Ces messages sont automatiquement supprimés des terminaux de l’expéditeur et du destinataire après le délai prédéfini. C’est lors de la création d’un message temporaire, qu’il vous sera demandé de définir la durée de vie du message.

Contrairement à WhatsApp, Signal n’affiche pas les noms des utilisateurs sur son interface principale. L’application parcourt le répertoire téléphonique de l’utilisateur et trouve les numéros de téléphone de ceux qui ont un compte Signal.

Pour voir cette liste, l’utilisateur doit toucher l’icône de composition de message affiché en haut à droite de l’interface principale sous iOS, en bas à droite sous Android.

Une fois le destinataire sélectionné, il vous suffit d’accéder à sa fiche contact et d’activer les messages éphémères et d’en fixer la durée.

Messagerie de Groupe

Signal permet aux utilisateurs de créer un groupe. Si votre ami n’utilise pas Signal, vous pouvez toujours le faire rejoindre le groupe mais les messages seront envoyés via la carte SIM.

Effacer l’historique des messages

WhatsApp et d’autres applications de messagerie ne permettent pas toujours de supprimer automatiquement les anciens messages. Sur Signal, vous pouvez configurer votre programme pour qu’il supprime les messages lorsque la durée de la conversation atteint un seuil que vous avez défini.

Téléchargement automatique des fichiers

Comme d’autres applications de messagerie instantanée, Signal peut télécharger automatiquement des images, des vidéos, des documents et des fichiers audio via Wifi ou une connexion de données mobiles.

Empreinte digitale de l’appareil

Comme Wire le propose aussi, Signal permet aux utilisateurs de vérifier la sécurité de son algorithme de chiffrement de bout en bout avec votre correspondant. Pour accéder à cette fonction, touchez la photo de votre interlocuteur pour accéder aux “Paramètres de conversation” du contact. Trouvez l’option “Afficher le numéro de sécurité“.

Lorsque vous appuyez sur cette option, vous verrez un code QR et plusieurs groupes de chiffres à l’écran. Vous devez comparer ces numéros avec celui affiché sur l’appareil du destinataire du message.

Applications qui utilisent le protocole Signal

Grâce à sa réputation en matière de chiffrement de bout en bout sécurisé, un certain nombre d’applications de messagerie de haut niveau utilisent désormais également le protocole développé par Signal. Cela inclut WhatsApp, Facebook Messenger et Skype.

D’une manière générale, cela peut être considéré comme une victoire majeure pour la protection de la vie privée, car cela permet à des millions d’utilisateurs, de recevoir des messages cryptés sécurisés de bout en bout.

Notez toutefois que, bien qu’elles utilisent le même protocole Signal sous-jacent, ces applications tierces ne sont pas aussi sécurisées ou privées que l’application Signal elle-même. C’est parce que :

  1. ces applications sont fermées, il n’y a donc aucun moyen de savoir avec certitude ce qu’elles font. C’est probablement peu probable, mais elles pourraient, par exemple, envoyer une copie de vos clés de cryptage à Facebook, Microsoft ou n’importe quel tiers de leur choix.
  2. ces entreprises ne peuvent pas connaître le contenu (le corps) de vos communications lorsqu’elles sont cryptées avec le protocole Signal, mais elles peuvent collecter les métadonnées des communications (qui, quand, où et comment).
    Et bien utilisées, ces seules métadonnées suffisent largement à dresser un profil très précis de l’utilisateur et de la nature de ses communications. Nul besoin d’en connaître le contenu comme le reconnaît ouvertement l’avocat général de la NSA, Stewart Baker :
"Les métadonnées vous disent absolument tout sur la vie de quelqu'un. Si vous avez assez de métadonnées, vous n'avez pas vraiment besoin de contenu."

Cela dit, vous avez probablement beaucoup d’amis qui utilisent déjà WhatsApp, Facebook Messenger et Skype, et qui sont donc plus susceptibles de chiffrer leurs messages en utilisant ces applications. Si c’est le cas, proposez leur de franchir complètement le pas en adoptant Signal ou Wire.

Conclusion

Signal a révolutionné le chat privé en introduisant une messagerie chiffrée de bout en bout hautement sécurisée et open source qui est aussi facile et transparente à utiliser que l’envoi de messages texte SMS réguliers.

C’est devenu pour beaucoup l’application de communication privée de référence. Elle offre en effet toutes les fonctions à ceux qui ne veulent plus que des sociétés tierces lisent leurs messages et voient les photos et vidéos envoyées à leurs correspondants.

Pour une utilisation classique, c’est à dire pour ceux et celles dont la priorité n’est pas d’échapper à la surveillance de masse, Signal est également idéal comme application de messagerie quotidienne. Pas de publicité, pas d’achats intégrés, pas de fonctionnalités superflues, pas de suivi.

En revanche, l’utilisation de vrais numéros de téléphone pour la découverte de vos contacts peut préoccuper certains défenseurs de la vie privée, mais ce point faible est fortement atténué par de nombreux atouts.

Si vous voulez des conversations privées sécurisées, alors Signal est sans aucun doute un excellent choix, auquel nous préférons, pour l’instant, l’application Wire et ses riches fonctionnalités et surtout son mode d’inscription anonyme.

Là aussi, couplées à un bon service VPN, vos conversations, même les plus inavouables sont à l’abri des regards indiscrets.

Cet article vous a t-il été utile ?