Quelle messagerie est la plus sûre ?

Vous venez malencontreusement  de tuer votre patron.

Vous avez envie d’éviter que vos photos coquines se retrouvent dans la fournée du prochain piratage à la mode.

Vous venez d’être pris dans les filets des « Panama papers ».

Vous êtes un homme politique qui veut filouter en toute tranquillité avec son avocat.

Vous êtes parent et vos enfants vous demandent souvent le numéro de votre carte bleue par téléphone.

Ou vous n’avez tout simplement pas envie que quelqu’un sache que tous les soirs, à 19h47, votre chéri(e) vous envoie : « Pense à prendre le pain. »

De l’anodin au plus grave, en passant par le menu larcin ou la position de principe, on a tous quelque chose à cacher.

Un vieux téléphone « sécurisé maison » - Mollybob/Flickr/CC

A partir du classement établi par l’association américaine Electronic Frontier Foundation (EFF), nous avons demandé aux chercheurs interrogés sur le chiffrement lors du clash entre Apple et le FBI de nous aider à vous conseiller les applications mobiles les plus sûres pour communiquer. Situation par situation.

Communiquer en toute sécurité risque d’être un peu compliqué. Certes, depuis l’affaire Snowden, la sécurité des échanges et même le chiffrement – concept qu’on ne pensait jamais voir devenir grand public – sont devenus un argument de vente. Mais cela ne veut pas dire que les fabricants de téléphone sont aussi sûrs que le clament leurs plaquettes de com’.

• Vous avez un iPhone : bonne pioche

On le sait particulièrement depuis son différend avec le FBI, Apple met un point d’honneur à protéger ses appareils, ainsi que les échanges via les applications qui y sont installées par défaut. Outre son système d’exploitation chiffré, la marque garantit une sécurisation solide pour iMessage et FaceTime. 

Envoyer un message sur iMessage : ça peut passer - Capture d’écran

Attention toutefois à ne pas laisser traîner votre mot de passe permettant d’accéder à vos sauvegardes iCloud, stockées sur les serveurs d’Apple. Si vous n’en voulez pas, ne les activez pas.

• Vous avez un Android : « it’s complicated »

Le système d’exploitation de Google propose bien une version chiffrée, le problème c’est que de nombreux équipementiers l’utilisent. Et l’adaptent à leur sauce. Samsung, HTC, LG, Motorola... Difficile d’être certains que ces fabricants ne tripatouillent pas Android de manière à affaiblir sa sécurité. Surtout qu’il paraît que c’est mieux pour la rapidité de l’appareil.
 

• Vous avez un Blackberry : pas si mal

Blackberry a fait de la sécurité de ses clients un argument de vente bien avant Apple. Ce n’est pas pour rien que les businessmen et autres grands de ce monde y sont toujours scotchés. Même ’« El Chapo » s’y était mis : Sean Penn a expliqué devoir utiliser les téléphones de la marque pour communiquer avec le baron de la drogue. Sauf que ces messages auraient conduit à son arrestation. Blackberry a-t-il collaboré avec la police ? Pour certains analystes, l’application BlackBerry Messenger (BBM) n’est en effet pas identifiée comme étant parfaitement sûre : le fabricant détiendrait les clés pour déchiffrer les messages. Et aurait donc la possibilité de les filer aux forces de l’ordre.

Si vous ne voulez vraiment pas que quelqu’un tombe sur votre message, mieux vaut laisser tomber. Facebook, Twitter et Instagram ne rendent leurs échanges opaques que lorsqu’ils circulent entre votre téléphone et leurs serveurs. Et encore ! Instagram a été accusé de ne pas assurer ce service minimum.

Twitter a bien dit un temps que ses équipes bossaient sur un moyen de chiffrer les « Direct messages » (DM) mais le projet a été abandonné.

Envoyer un message sur Facebook Messenger : mauvaise idée - Capture d’écran

Résultat : les messages privés qui sont stockés chez ses trois services très populaires sont en clair sur leurs serveurs. Donc si quelqu’un le souhaite, il peut les lire. Policier avec une ordonnance judiciaire, personnes malveillantes avec quelques compétences en informatique, ou NSA.

Notre conseil : téléchargez d’autres applications. Ou utilisez un pigeon voyageur.

Vous avez entre 12 et 25 ans (ou tentez de rester branché et fresh) et passez votre temps à faire des stories sur Snapchat. Sans compter que votre cousine vous a fait découvrir le monde merveilleux de Whatsapp pour s’assurer qu’après son mariage, vous et toute votre famille pourriez profiter des photos et de l’enregistrement du fameux karaoké de 3h42. Bref, vous êtes con-nec-tés.

• A faire : utiliser WhatsApp

Bonne nouvelle : en plus d’être très simple d’utilisation, WhatsApp est a priori bien sécurisée.

Il y a quelques jours, l’application détenue par Facebook a en effet annoncé qu’elle allait chiffrer ses messages de bout en bout. A en croire les experts, c’est la meilleure formule puisque de votre téléphone à celui de votre destinataire, impossible de lire vos échanges. WhatsApp elle-même n’a pas la clé permettant de les déchiffrer ! Du coup, police ou délinquant, personne ne pourra se faufiler dans ses serveurs pour accéder à leur version lisible.

En plus, vous n’avez rien à activer : c’est ce qu’on appelle le « privacy by design » ; la protection de votre vie privée est pensée à l’intérieur même de l’application, sans que vous vous en aperceviez.

Envoyer un message sur Snapchat : mauvaise idée - Capture d’écran

• A éviter à tout prix : Snapchat

D’accord, c’est a priori éphémère. Et a priori pas conservé sur les serveurs de l’entreprise (à l’en croire, seuls les contenus non-ouverts sont stockés, pour 30 jours). Mais ça ne suffit pas.

Au-delà du risque, déjà grand et hautement probable, qu’un de vos potes fassent une capture d’écran de votre snap, sachez qu’ils ne bénéficient pas de la plus haute protection. Le court laps de temps qu’elles y séjournent, images et vidéos demeurent lisibles pour Snapchat, qui détient la clé pour lever le chiffrement qui les brouille. Là encore, toute intrusion est donc possible.

• Pour le confort d’utilisation : WhatsApp

Pour toutes les qualités évoquées ci-dessus, c’est peut-être le meilleur moyen de mettre un pied dans les communications vraiment sécurisées.

Sur WhatsApp, il est possible de s’assurer de l’identité de son interlocuteur – à condition de l’avoir rencontré une fois. Exemple : vous voulez parler avec Snowden mais vous ne savez pas si le compte « snowden » sur WhatsApp est le sien ou celui de la NSA. Vous devez aller le voir, flasher le QRcode associé à sa clé. Vous saurez alors que vos secrets seront bien gardés.

De même, le fait qu’une clé différente soit associée à chaque envoi permet d’éviter que les vieux messages soient subitement lisibles, si quelqu’un venait à mettre la main dessus – c’est ce qu’on appelle la « confidentialité persistante ». 

Seul bémol : les détenteurs d’iPhone peuvent réaliser des sauvegardes de leurs conversations sur iCloud. Comme cela ouvre une nouvelle porte vers vos données, autant se méfier.

• Pour être blindés : Signal

C’est l’application de référence, la star dans le domaine. Tous les pontes du milieu recommandent le système sur lequel elle s’appuie, « Open Whisper Systems »  : Snowden, Poitras, Schneier... Elle cumule les bons points, sauf un, qui peut être très gênant : sa facilité d’utilisation.

Déjà, il faut que vos contacts soient dessus. Et puis, il faut que ça fonctionne : quelques heures avant la mise en ligne de cet article, il était impossible de se connecter aux serveurs de l’application pour la faire tourner. 

L’interface de Signal, en attente d’un nouveau message - Capture d’écran

Ceci dit, en dehors de ces dysfonctionnements épisodiques, Signal n’est pas si compliqué à prendre en main.

Sur Telegram, il est nécessaire de le préciser lorsqu’on souhaite une conversation protégée - Capture d’écran

• On est sceptiques : Telegram et Viber

Elle a beau être présentée comme l’alternative à Signal ou WhatsApp (on la dit même employée par les terroristes, c’est dire), Telegram suscite trop de controverses pour être fiable.

Il est déjà nécessaire de bien préciser lorsqu’on veut une conversation chiffrée – toutes ne le sont pas. Et puis, les experts lui reprochent d’utiliser une boîte à outils pensée et développée à l’intérieur de Telegram. Or, en cryptologie, c’est rédhibitoire : on ne déploie pas sa petite solution perso, éprouvée nulle part ailleurs.

Telegram a réagi en invitant les râleurs à venir déjouer leur système de protection. 300 000 dollars sont à la clé. De quoi énerver un peu plus encore la communauté du chiffre, qui estime, démonstrations complexes à l’appui, que ce concours est pipé.

Mêmes doutes pour Viber : l’application a rejoint le mouvement du chiffrement ce 19 avril, mais ne donne pas assez d’infos pour nous assurer de sa fiabilité.

Si elle a dit avoir opté pour la protection la plus robuste (du bout en bout de la communication), et avoir mis en place un mécanisme pour être certain de l’identité de son interlocuteur, elle n’est en revanche pas très transparente sur l’outil qu’elle utilise pour y parvenir. Sans publier la moindre info technique sur son site, Viber a en plus confié à Daily Dot s’appuyer sur une sécurité maison, développée sur « le concept d’une solution établie en open-source ».

Franchement, tout ça sent mauvais : évitez.

• FaceTime

Si vous avez un iPhone en poche, le plus simple est peut-être d’utiliser FaceTime. Attention néanmoins : la communication n’est possible qu’avec des Mac fans – tous les autres téléphones sont exclus. Pas toujours pratique.

• Patients ? Signal, WhatsApp

Si vous avez un peu de temps devant vous, vous pouvez toujours tourner des saynètes, à envoyer par la suite via Signal ou WhatsApp. Forcément, c’est moins fluide : on n’est plus dans le papotage vidéo, mais bien dans l’envoi de petits films, dont la durée est en plus limitée (de 90 secondes à 3 minutes en moyenne pour WhatsApp). Il va donc falloir saucissonner.

•  A éviter : Skype

Forcément, c’est l’application qui vient alors tout de suite en tête. Skype a longtemps été citée comme une gardienne efficace des communications sensibles – notamment pendant les révolutions arabes. Sauf que c’est un peu trop embrouillé pour être certain.

De nombreux spécialistes ont identifié des failles dans la protection que Skype revendique. Néanmoins, celles-ci datent : des mises à jour ont peut-être été faites. Sauf qu’on en sait rien : fin 2014, l’EFF s’est arrachée les cheveux pour le déterminer, mais Microsoft, la maison-mère de Skype, n’a pas répondu à ses questions. Tant pis pour eux.

Envoyer un message sur Twitter : mauvaise idée - Capture d’écran

Que garder alors ? Si ça fonctionne : Signal. Sinon, WhatsApp.

Après gardez en tête que malgré toutes ces précautions, un individu déterminé peut toujours trouver le moyen d’accéder à vos informations. Des entreprises en ont même fait leur business, comme la boîte israélienne Cellebrite – qu’on dit capable de pénétrer dans les derniers iPhone et Blackberry.

Sans aller jusque-là, en matière de sécurité, c’est souvent nous qui déconnons. En laissant traîner nos mots de passe, en ne verrouillant pas nos téléphones...

Et puis, même en restant irréprochables, il reste toujours des traces : les métadonnées. Qui disent à qui l’on parle, quand, où, combien de temps... Des infos qui peuvent en dire beaucoup, beaucoup, sur vous.

Ne vous résignez pas pour autant : une protection, même imparfaite, vaut toujours mieux que se balader à découvert !

Initialement publié le 8 avril 2016