La problématique des messageries instantanées
La messagerie instantanée est un élément primordial à protéger. En effet, on peut apprendre beaucoup de choses sur nous via ce système de communication. Contrairement à un e-mail où l’on va s’appliquer à rédiger de manière rationnelle, lors d’une communication en direct on prend moins le temps de filtrer nos propos. La communication se fait souvent sans masque et sur le coup de l’émotion. De plus, cette impression de discuter à huis clos n’encourage pas à retenir les informations sensibles.
Accédez aux conversations privées et vous découvrirez tous les secrets de votre victime. C’est d’ailleurs souvent sur ce point que les conjoints infidèles ou les criminels se font avoir.
C’est donc un point critique à protéger absolument.
Tout le monde a quelque chose à cacher. Même si vous n’avez commis aucun délit ou que vous ne faites rien d’immoral, tout le monde aspire à son intimité et personne ne tient à l’étaler au grand jour. Donneriez-vous un accès complet à votre téléphone, compte e-mail ou banque, à n’importe quel inconnu dans la rue, à votre voisin, à vos parents, à votre employeur ? Non, et c’est tout à fait normal.
Les mauvais élèves
Le cas WhatsApp
WhatsApp a eu la chance d’être au bon endroit au bon moment et a profité du fait que tout le monde installait cette application pour rejoindre ses proches qui l’avaient déjà installée.
J’ai toujours eu un problème avec cette application pour diverses raisons mais je l’ai également installée car difficile de faire autrement.
Il faut savoir que WhatsApp, tout comme Instagram d’ailleurs, est la propriété de Facebook qui fait partie des GAFAM, ces géants du web dont le business repose notamment sur les données privées de ses utilisateurs.
Certes, WhatsApp a introduit (tardivement) le chiffrement de bout en bout (E2EE – End To End Encryption (voir chapitre 6)) pour gagner la confiance du grand public, mais cela suffit-il ?
L’application installée sur votre téléphone, quelles données à propos de vous ou de vos contacts récolte-t-elle sans que vous vous en rendiez compte ? Difficile à savoir puisque elle n’est pas open source (voir chapitre 6).
Récemment, WhatsApp a tenté de mettre à jour sa politique de confidentialité pour être encore plus intrusive qu’elle ne l’était déjà. Cela a provoqué un petit tollé et ils sont revenus en arrière, avant de réintroduire cette mise à jour, de force.
Cela démontre deux choses. Premièrement, leur but est de connaître un maximum d’informations sur nous et deuxièmement, les gens ne sont pas d’accord avec cela.
En effet, une majorité de la population se sent concernée par la confidentialité de ses données.
Bref, je m’arrête là mais retenez que WhatsApp (Facebook et Instagram également) est un cauchemar en termes de sécurité et de confidentialité (et d’anonymat par la même occasion même si ce n’est pas le sujet ici).
Pour ma part, j’ai dès le départ utilisé d’autres messageries instantanées en parallèle de WhatsApp, mais pas forcément les bonnes, et encore moins pour les bonnes raisons.
Au fil du temps, j’ai commencé à considérer la sécurité et la confidentialité comme des critères importants et j’ai commencé à choisir des applications de messagerie instantanée en fonction de ces deux critères.
Telegram
J’ai également Telegram pour certains contacts. Les développeurs mettent l’accent sur les fonctionnalités, ce qui constitue le principal point fort de ce réseau. Malheureusement, il faut savoir que Telegram n’est pas construit autour de la sécurité et de la confidentialité. Dès lors, les conversations standard ne sont même pas chiffrées de bout en bout. Cela veut dire que les conversations sont inscrites en clair dans les bases de données de Telegram. N’importe quel développeur de cette entreprise, mais aussi potentiellement n’importe qui de motivé ou fortuné, c’est-à-dire des hackers, la CIA ou notre pire ennemi peut lire clairement vos conversations comme s’ils lisaient un livre. Sans compter les méta données qui permettent de récolter des informations pertinentes. Telegram est en fait pire que WhatsApp… De manière générale, pour ce qui nous intéresse aujourd’hui, Telegram n’est pas un bon choix.
Facebook Messenger
Certains communiquent encore via Facebook Messenger. Je pense que vous l’aurez compris, ce système n’est pas du tout digne de confiance et ne mérite même pas sa place ici. En clair, fuyez cette application.
Les bons élèves
Signal
Il y a quelques années déjà, je me suis tourné vers Signal que j’utilisais pour communiquer avec ma femme. Je me suis intéressé à cette application car elle est open source, utilise un très bon système de chiffrement (cryptage – ce qui rend les données impossibles à lire en cas d’interception), a la possibilité d’envoyer des messages éphémères et surtout n’est pas détenu par un géant avide de vos informations. Signal est financé par les donations (plus d’informations ici).
La politique de Signal est de mettre la sécurité et la confidentialité de l’utilisateur au premier plan. Par ailleurs, je trouve cette application plus agréable à utiliser que WhatsApp par exemple (plus jolie, fonctionne mieux).
Signal est une bonne application que je recommande. Toutefois, certains points peuvent être améliorés.
Afin d’identifier ses utilisateurs, Signal utilise les numéros de téléphone. Or, ce numéro est unique et associé à ma personne. C’est donc une information que je considère comme sensible et que je préfère éviter de dévoiler à n’importe qui. J’aimerais pouvoir communiquer avec un inconnu sans avoir à lui donner mon numéro de téléphone. De plus, cela représente un risque en cas de fuite de données, comme ce fut le cas en août 2022.
Signal utilise également des outils (framework) développés par Google pour fonctionner (notamment pour les notifications). Cela représente un problème en terme de confidentialité car rien n’empêche Google d’obtenir de cruciales informations par ce biais.
Pour éviter ce dernier point, je vous recommande le client alternatif Molly qui permet de communiquer sur les serveurs de Signal (donc aucun problème pour discuter avec vos contacts qui utilisent Signal). Contrairement au dernier nommé, Molly n’utilise aucun framework de Google et amène plusieurs améliorations de sécurité. Si vous souhaitez utiliser le réseau de Signal, alors préférez le client Molly.
Un autre point négatif de Signal est qu’il est construit autour d’une architecture centralisée et hébergée sur les serveurs d’Amazon. Étant donné que les messages sont chiffrés cela ne représente que peu de risques pour notre confidentialité (restent les problèmes de metadonnées malgré tout), mais que se passerait-il si un jour Amazon décidait de couper l’accès à Signal, comme ils l’ont fait avec le réseau social Parler ?
L’architecture centralisée présente également un autre risque. Par définition, l’entier du service repose sur un seul pilier, une seule entreprise. Un adversaire pourrait facilement prendre la main sur l’entier du service ou le rendre hors service en une seule opération.
Dès lors, j’ai commencé à m’intéresser à des alternatives aussi performantes que Signal mais dont l’identification ne passe pas par le numéro de téléphone ou dont l’architecture est différente (décentralisée, fédérée ou pairs à pairs (Peer 2 Peer, soit une communication en direct, sans passer par un serveur)).
Les autres (très bons) réseaux de messagerie instantanée
Je suis donc tombé sur les réseaux suivants, que je recommande :
- Matrix: un réseau opensource, décentralisé et sécurisé avec différents clients.
- Session: utilise le réseau TOR et protège même les metadonnées, mais centralisé.
- Threema: un excellent service suisse sécurisé, mais centralisé.
- Briar: un service de messagerie décentralisé offrant la possibilité de communiquer en P2P.
- Jami
- Tox
Ils ont chacun leurs points forts et leurs défauts mais tous respectent mes critères comme le E2EE par exemple. Bien que je les utilise en parallèle (y compris Signal) afin d’offrir un maximum de choix à mes contacts, je recommande tout de même Matrix.
Si pour vous le numéro de téléphone n’est pas une donnée sensible, alors Signal est un excellent choix, tout en gardant à l’esprit qu’Amazon a déjà appuyé sur le bouton off une fois et pourrait tout à fait recommencer.
Matrix
Je fais un petit paragraphe pour vous parler de Matrix.org, car selon moi, ce réseau sort du lot. En effet, il est construit de telle sorte que n’importe qui peut mettre en place un serveur (même vous) ou développer un client (une application) qui utilise le réseau Matrix. Concrètement, cela signifie que vous pouvez choisir le serveur qui hébergera vos données (qui sont chiffrées de bout en bout), ainsi que l’application que vous utiliserez pour communiquer (parmi celles qui utilisent le réseau Matrix – en voici une liste) et tout de même communiquer avec d’autres utilisateurs (ou vos amis) qui n’ont pas fait les mêmes choix que vous.
Cela veut dire que Robert, utilisant le client A et hébergé sur le serveur Y peut communiquer avec Lucie qui utilise le client B et qui est hébergée sur le serveur Z. Vous n’aimez pas votre client ? Utilisez-en un autre. Aucune incidence sur vos communications.
Là où vous étiez obligés d’utiliser l’application WhatsApp, hébergée sur les serveurs de Facebook pour communiquer avec vos amis, sans le moindre choix possible, Matrix vous permet de choisir le serveur et l’application et tout de même être en mesure de discuter avec vos proches, même s’ils choisissent un autre client et un autre serveur.
Voyez la chose de la même manière que fonctionnent les emails. C’est le même type de structure. Vous pouvez avoir un compte chez Gmail et communiquer avec une autre personne chez Hotmail. Là, c’est la même chose.
Par ailleurs, ce service est complet et bien sécurisé. C’est le système que je recommande et que j’utilise. J’héberge mon propre serveur sur lequel sont inscrits les membres de ma famille. Ainsi, je peux communiquer avec eux sans que nos données n’atterrisent sur le serveur d’une multinationale cupide.
Selon moi, il s’agit de la meilleure solution actuellement (2022).
Se séparer des traîtres
J’ai fini par désinstaller WhatsApp, après avoir annoncé mon départ. J’utilise donc principalement Signal, Matrix et Threema avec mes proches et les inconnus.
Désinstaller WhatsApp est une décision difficile à prendre. Vos contacts vont se poser des questions et il faudra se justifier ou expliquer la démarche, les contacts sporadiques avec des gens moins proches deviennent plus compliqués, on perd notre place dans les groupes famille, amis, boulot, école, etc. Socialement, ça donne l’impression d’augmenter la distance ou de mettre une barrière avec les gens.
En réalité, vos proches vous suivront et resteront faciles à contacter. C’est une démarche saine et honorable. Les gens comprendront, ils n’auront pas besoin de quitter WhatsApp, mais juste d’installer une autre application en parallèle. Ce n’est pas si compliqué et vous verrez que la plupart verront ça comme une petite aventure qui leur fera du bien.
Si un contact refuse de faire ce petit pas vers vous, alors peut-être que votre relation n’en vaut pas la peine.
Rappelez-vous qu’une grande partie de la population se sent concernée par les problématiques de sécurité et de confidentialité.
Sachez que vous êtes libres d’utiliser les applications qui vous conviennent. Rien ne vous oblige ou vous force à utiliser WhatsApp. Il ne s’agit pas d’une application officielle. Vous avez donc le droit de la désinstaller et n’êtes pas tenus de vous en justifier.
Ce qu’il faut retenir
La messagerie instantanée est un point critique à protéger absolument. Pour cela, le principal moyen est d’utiliser le bon service. Je suggère en priorité Matrix. Désinstallez WhatsApp, Télégram et Facebook Messenger qui sont de véritables espions (vous en avez tout à fait le droit).
Newsletter
Recevez ma newsletter mensuelle afin de ne rien rater. Inscrivez-vous ici :
Salut Jordon, très bon article. Je partage tes préférences pour Matrix, Threema et Signal. Pour ma part j’ai coupé ponts avec tout ce qui est Facebook depuis le rachat de WhatsApp, c’était dur au début mais comme tu dis la plupart des contacts importants suivent tôt ou tard et ça en vaut la peine.
Dans ta liste je noterais que Jami a énormement de potentiel mais il n’y a quasi aucune adoption alors dur de vraiment le tester. Tox aurait pu être bien, dans l’idée de Matrix mais cela a fait un flop à cause de nombreux problème techniques et il me semble de sécurité, je ne recommenderais plus. Keybase aussi n’est plus trop à recommander car il a était racheté par Zoom qui a une extrêment mauvaise réputation niveau vie privée et pire niveau sécurité, dommage j’aimais bien le service et la simplicité mais je préfère éviter aussi du coup.
A l’avenir, on aura peut-être des solutions intéressantes basées sur Nostr, à suivre aussi.
Merci pour ton retour. Je ne savais pas pour Keybase, c’est bon à savoir. Du coup, je le retire de la liste.
Je ne connais pas non plus Nostr. Je vais regarder ça aussi. 😉
Hello, je serai plus nuancé par rapport à quitter WhatsApp (bien que je le souhaiterai). Ayant de la famille à l’étranger, j’ai poussé pour qu’ils utilisent Signal. Apparemment, suivant la localisation, cela ne fonctionne pas….. (Le push n’a pas l’air de fonctionner). Du coup ils ne voyaient pas mes messages et devait chaque fois réouvrir l’app Signal pour recevoir les messages. Brefs, je dois faire avec.
Sinon j’abonde dans ton sens quant à l’utilisation de Signal, Threema, Matrix (un peu de mon côté). Je test aussi Olvid qui a l’air pas mal aussi
C’est vrai que ça dépend de la situation de chacun. Parfois ce n’est pas possible pour la raison que tu as évoquée. On peut aussi être lié par le travail, l’école ou une association par exemple qui nous contraignent à utiliser leur groupes whatsapp.
Dans ces cas, je préconise d’utiliser Whatsapp avec l’application Shelter (qui utilise le work profile pour cloisonner les applications). Un article à ce sujet paraîtra bientôt.
Il ne faut pas oublier qu’il est impossible de disparaître complètement et qu’on fait de notre mieux en fonction de notre situation et c’est toujours ça de gagné. 😉
[…] Chapitre 13 : Protéger ses communications instantanées […]
[…] vous invite à lire le chapitre 13 du Sirius Cyber Guide qui revient en détails sur les communications […]
[…] vous invite à lire le chapitre 13 du Sirius Cyber Guide, traitant des messageries instantannées, ainsi que le tag y […]