Bandeau
mcInform@ctions
Travail de fourmi, effet papillon...
Descriptif du site
Club de Mediapart/ X_Cli Spécialiste en sécurité informatique
Trop de bruit avec Signal : les métadonnées en cause dans les messageries chiffrées
#Signal #chiffrement #metadonnee
Article mis en ligne le 11 septembre 2025
dernière modification le 8 septembre 2025

Signal est régulièrement désigné comme LA meilleure application de messagerie sécurisée. Pour autant, cette supériorité universelle et présentée sans nuance relève d’un manque de finesse de l’analyse. Pire, elle met en danger les journalistes et leurs sources, les activistes et certaines minorités. Nous voyons pourquoi dans cet article.

Signal est régulièrement désigné comme LA meilleure application de messagerie sécurisée.

Cette supériorité sur Whatsapp ou Telegram n’est pas usurpée. Whatsapp est une application en source fermée, contenant des logiciels espions, tandis que Telegram ne chiffre de bout-en-bout les messages qu’en de rares occasions.

Même Matrix/Element, l’application de communication utilisée comme fondement technique de la messagerie gouvernementale Tchap, est une passoire dotée d’une implémentation cryptographique discutable quand les données sont, chose rare, chiffrées.

Pour autant, cette supériorité universelle et présentée sans nuance relève d’un manque de finesse de l’analyse. Pire, elle met en danger les journalistes et leurs sources, les activistes et certaines minorités.

De la bouche même de Michael Hayden, ex-directeur de la NSA et de la CIA, les États-Unis d’Amérique "tuent sur la base de métadonnées". Or, les serveurs de Signal et ses nombreux prestataires (Google, Apple, Amazon, Cloudfront, Cloudflare) sont tous hébergés sur le sol américain et soumis à la juridiction du gouvernement fasciste et réactionnaire de Donald Trump.

Il devient dès lors primordial de s’interroger sur les métadonnées à la disposition de Signal. Pour leur part, les responsables de Signal déclarent fièrement "qu’iels ne peuvent divulguer ce qu’iels n’ont pas". Iels tiennent même une page sur laquelle iels listent les perquisitions reçues et ce qu’iels ont répondu.

L’honnêteté de ces déclarations de Signal peut cependant être remise en cause quand ces mêmes personnes font la promotion de prétendues fonctionnalités de sécurité et de préservation de la vie privée qui s’avèrent être profondément inaptes à remplir leurs promesses. Pire, l’inexactitude de leurs affirmations n’est pas accidentelle mais délibérée, puisque certaines failles sont connues et publiquement documentées et elles restent sans correctifs, parfois pendant plusieurs années. (...)

Dès lors, que faire ? Continuer d’utiliser Signal car les autres messageries sont pires ? En revenir aux communications ne passant pas par Internet ?

De l’avis de nombreux spécialistes en sécurité informatique, la partie est perdue. "Si tu ne veux pas que cela se sache, ne le fais pas sur Internet" peut être entendu dans un nombre grandissant de bouches.

Néanmoins, se passer totalement des communications en ligne requiert des compétences en sécurité opérationnelle (opsec) : comment se déplacer sans être traqué ? Il s’agit d’un défi de plus en plus difficile à relever, avec la disparition progressive de la monnaie fiduciaire et le déploiement de la vidéoprotectionsurveillance algorithmique, sans parler de notre hyperdépendance au mouchard que nous avons toustes dans la poche : notre téléphone portable. Si vous avez ou cultivez les compétences requises, cette approche est certainement la plus efficace à ce jour, étant donné que le renseignement effectué par les humains est en perte de vitesse au profit des algorithmes et du traitement automatisé des métadonnées issues de la surveillance globale.

Mais pour celles et ceux n’ayant pas les compétences, ou les moyens d’investir le temps et l’argent nécessaires dans la sécurité opérationnelle, quelles sont les options, à part continuer d’utiliser Signal ?

Lors de la conférence à Pass the Salt, j’ai présenté des contremesures à la collecte des métadonnées mises en place par l’application de messagerie sécurisée SimpleX Chat. (...)

Outre son protocole, SimpleX Chat utilise par défaut des serveurs hébergés en Grande-Bretagne et en Allemagne. Les utilisateur•rices peuvent également configurer des serveurs de leurs choix, situés dans leur juridiction préférée, étant donné que SimpleX Chat est décentralisé et autohébergeable. En fait, le code source de l’application est intégralement publié, y compris celui des logiciels serveur.

Il convient néanmoins, par transparence, d’admettre que les utilisateur•rices pourraient être dérouté•es par le caractère fruste de l’interface de SimpleX Chat et l’absence de certaines fonctionnalités bien pratiques auxquelles nous sommes collectivement habituées et qui dégradent pourtant la sécurité et réduisent la protection de la vie privée.

Pour les journalistes et leurs sources, les activistes et les minorités, c’est cependant un sacrifice nécessaire à faire sur l’autel de la protection de leurs contacts. (...)


Dans la même rubrique

« Moins vous en savez sur l’IA, plus vous êtes susceptible de l’utiliser », d’après une étude selon laquelle l’IA peut sembler magique aux yeux de ceux qui ont peu de connaissances en la matière
le 10 septembre 2025
OpenAI admet que les mesures de protection de ChatGPT échouent lors de conversations prolongées
le 9 septembre 2025
La divulgation sélective des grandes entreprises technologiques masque l’impact réel de l’IA sur le climat
le 6 septembre 2025
EYAL WEIZMAN - INTENTION GÉNOCIDAIRE
le 4 septembre 2025
Donald Trump dévoile un plan d’action pour une IA américaine sans entrave
le 2 septembre 2025