Dans un contexte tendu, Signal rappelle ses différences avec WhatsApp
Des différences « obscurcies par le marketing ».
Signal traverse une drôle de période. La messagerie sécurisée, mise en lumière par la récente gaffe du gouvernement Trump, bénéficie d’une attention pas toujours bénéfique. Parallèlement, la présidente de la fondation signal, Meredith Whittaker, affronte le directeur de WhatsApp sur les écarts entre les deux messageries.
Le 27 mars à 15h32
8 min
Sécurité
Next
Les derniers jours ont vu une attention renouvelée sur la messagerie sécurisée Signal. Le terme « Signal » désigne aussi bien la messagerie que le protocole utilisé. Celui-ci est connu depuis longtemps pour son chiffrement de bout en bout, qui garantit qu’une conversation n’est connue que de l’expéditeur et ses destinataires. Signal, en tant que fournisseur du service, n’a pas accès aux contenus.
Un contexte étonnant
Cette attention est due en partie à une énorme bourde commise par Michael Waltz, conseiller de Donald Trump à la sécurité. L’éminent personnage a invité par erreur le journaliste Jeffrey Goldberg, rédacteur en chef de The Atlantic, dans une conversation de groupe. Ce dernier a accepté et a découvert, à sa grande surprise, une discussion sur les frappes programmées au Yémen contre les Houthis. Le groupe comprenait notamment le vice-président des États-Unis, J.D. Vance, le secrétaire à la Défense, Pete Hegseth, et le chef de la diplomatie américaine, Marco Rubio.
Au sein de la conversation, des hauts responsables du gouvernement partageaient ainsi des plans d’attaque. Jeffrey Goldberg a pris des captures d’écran de toute la conversation et a quitté le groupe. La Maison-Blanche, depuis, a indiqué à plusieurs reprises qu’il ne s’agissait pas d’un problème. The Atlantic a donc demandé s’il était possible de publier le reste des informations. Refus de la Maison-Blanche. Publication des informations par The Atlantic.
Dans ce contexte troublé, les lumières se sont braquées brusquement sur la messagerie. Même si son protocole sert à l’une des messageries les plus utilisées de la planète – WhatsApp a environ 2,3 milliards d’utilisateurs – Signal reste en effet une plateforme peu utilisée, avec 40 à 70 millions d’utilisateurs.
Signal tient à s'expliquer
L’un des problèmes auxquels fait face Signal est le constat que les membres de la fameuse discussion n’ont pas utilisé une messagerie recommandée par la Maison-Blanche. La plateforme garde son aura de service grand-public. Des accusations sur une sécurité insuffisante sont donc apparues. En outre, il est possible dans Signal de faire disparaitre les messages, manuellement ou automatiquement, contrevenant aux lois américaines sur la conservation des données gouvernementales. Et pour ajouter au trouble, un rapport du Pentagone, datant du 18 mars, a fait surface pour rappeler que Signal avait été la cible de pirates et que la messagerie contenait « une vulnérabilité ».
Pour Signal, c’est une mauvaise compréhension de ce qu’est une messagerie sécurisée. La fondation parle ainsi d’une « information erronée » qu’elle « doit combattre ». Ainsi, l’utilisation du mot « vulnérabilité » ne renvoie pas directement à une faille dans Signal, mais à une mise en garde contre les escroqueries par hameçonnage. Autrement dit du phishing, comme nous l’avons vu en février.
Signal relève que le phishing n’a rien de nouveau et qu’il ne s’appuie pas sur des faiblesses dans la sécurité intrinsèque du produit. La fondation, consciente cependant qu’il était possible d’inciter à l’erreur humaine, a modifié certains aspects dans la gestion des contacts et mis en place un système d’alarme interne, pour prévenir d’erreurs potentielles. « Ces travaux sont terminés depuis un certain temps et n'ont aucun lien avec les événements actuels », ajoute la fondation.
L’éditeur rappelle en outre que Signal est un logiciel libre : « Notre code est régulièrement examiné, en plus des audits formels ». Et la fondation de conclure : « C’est pourquoi Signal reste la référence en matière de communications privées et sécurisées ».
« Le chiffrement ne peut pas vous protéger de la stupidité ».
Tout le problème du phishing repose sur l’erreur humaine. Le niveau de sécurité peut grimper, elle reste le meilleur moyen d’entrer, en incitant une personne à donner un accès malgré elle ou lui faisant cliquer sur un lien menant vers un site capable d’exploiter une faille, par exemple.
Dans le cas de Signal, la technique consistait à faire scanner un code QR à quelqu’un. Ce code sert à lier un appareil au compte, permettant alors l’utilisation de la messagerie sur un ordinateur ou une tablette, en plus du téléphone. Des pirates s’étaient ainsi débrouillés pour piéger des personnes, ce qui aboutissait à l’ajout d’appareils détenus par le groupe malveillant.
Mais, comme la communication de Signal le pointe, il existe une grande différence entre être piégé et ajouter par mégarde une personne dans une conversation. Ainsi que le relève 404 Media, « le chiffrement ne peut pas vous protéger contre l'ajout de la mauvaise personne à un groupe de discussion », l’utilisateur ayant le contrôle de ses discussions. En revanche, nos confrères recommandent chaudement d’utiliser la fonction permettant d’affecter des pseudonymes aux contacts, pour s’assurer que l’on parle aux bonnes personnes.
Le cryptologue Matthew Green a exprimé la même idée, de manière beaucoup plus franche : « Le chiffrement ne peut pas vous protéger de la stupidité ». Il recommande également d’utiliser Signal.
Bisbilles avec WhatsApp
Chez Signal, l’affaire a provoqué au départ un certain amusement. Le 24 mars, Matthew Rosenfeld, créateur de Signal généralement mieux connu par son pseudo Moxie Marlinspike, s’en est amusé sur X : « Il y a tant de bonnes raisons d'être sur Signal. Y compris maintenant la possibilité pour le vice-président des États-Unis d'Amérique de vous ajouter au hasard à un groupe de discussion pour la coordination d'opérations militaires sensibles ». Il s’est cependant trompé, puisque l’invitation est partie du conseiller à la sécurité.
Parallèlement, une guerre de communication s’est installée entre WhatsApp et Signal, presque frères ennemis. Le premier a beau utiliser le protocole du second, il existe des différences nettes dans la collecte des données et ce qui est effectivement chiffré, au-delà du seul contenu des conversations et appels audio/vidéo.
C’est le cœur du message de Meredith Whittaker, présidente de la fondation Signal. Elle a réagi le 25 mars aux propos de Will Cathcart, directeur de WhatsApp, qui avait déclaré à des journalistes néerlandais que la sécurité était la même dans les deux messageries. En outre, il a affirmé que WhatsApp ne gardait pas de trace de qui communique avec qui et quand, et que ni la position géographique ni les informations sur les contacts n’étaient partagées avec d’autres entreprises.
Technique contre marketing
Meredith Whittaker a donc souhaité donner quelques précisions : « WhatsApp dispose d’une licence pour la cryptographie de Signal afin de protéger le contenu des messages pour le grand public. Ce n'est pas le cas de WhatsApp pour les entreprises. Ni WhatsApp grand public ni WhatsApp professionnel ne protègent les métadonnées intimes telles que la liste des contacts, qui envoie des messages à qui, quand, la photo du profil, etc. Et, lorsqu'elles y sont contraintes, comme toutes les entreprises qui collectent des données au départ, elles transmettent ces données importantes et révélatrices ».
Elle invite cependant à ne pas « se méprendre » : « Nous sommes ravis que WhatsApp utilise notre technologie pour améliorer la protection de la vie privée dans son application […]. Mais il s'agit là de différences essentielles en matière de protection de la vie privée et le public mérite de les comprendre, compte tenu des enjeux. Il ne faut pas qu'elles soient obscurcies par le marketing ».
Dans un contexte tendu, Signal rappelle ses différences avec WhatsApp
-
Un contexte étonnant
-
Signal tient à s'expliquer
-
« Le chiffrement ne peut pas vous protéger de la stupidité ».
-
Bisbilles avec WhatsApp
-
Technique contre marketing
Commentaires (26)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 27/03/2025 à 16h07
Modifié le 27/03/2025 à 16h13
D'après l'article : "A major determining factor of the system’s identification is simply if an individual is in a WhatsApp group containing another suspected militant."
D'où l’intérêt d'utiliser des services qui ne collectent que le stricte nécessaire comme Signal et il me semble les services comme ProtonMail.
Le 28/03/2025 à 11h17
Proton = OK
Sinon le mieux reste Matrix. Le client Element est bien, ou même sans installation avec le navigateur avec le Web client.
Le 28/03/2025 à 13h02
Sinon concernant les messageries "grand publique", il me semble qu'Olvid ne collecte pas le numéro de téléphone. A tester.
Modifié le 29/03/2025 à 12h04
J'ai aussi entendu parlé de SimpleX (https://simplex.chat) et Session (https://getsession.org),
Après encore faut-il avoir nos contacts dessus 😅
Le 28/03/2025 à 16h42
Le 29/03/2025 à 15h47
Pas trop confiance en Signal because origine USA (et donc application des lois USA).
Modifié le 31/03/2025 à 07h23
Ça semble un peu merdique ce protocole, non ?
Bon c'est sûr que si on veut être certain que rien ne soit stocké sur aucun serveur et qu'ils ne fassent que faire transiter les messages... mais pas super pratique quand même...
Avec un peu de chiffrement, ça pourrait être acceptable de stocker temporairement les derniers messages qui n'ont pas été encore délivrés, non ?
Pas sûr en effet que ça va attirer beaucoup de monde...
Le 30/03/2025 à 09h36
Le 31/03/2025 à 03h24
Le 29/03/2025 à 10h33
Le 29/03/2025 à 15h02
Le 29/03/2025 à 16h05
Le 29/03/2025 à 18h47
Modifié le 31/03/2025 à 13h05
Le 31/03/2025 à 18h14
Le 08/04/2025 à 10h53
Je comprends qu'on peut ne PAS afficher son numéro de téléphone pour les autres mais un simple pseudo unique, par contre il y a toujours besoin d'un numéro de téléphone fonctionnel pour s'inscrire.
Donc c'est toujours NON en ce qui me concerne puisque ça veut dire que la société derrière Signal dispose de cette information hautement identifiante, même si je ne suis plus obligée de la partager au monde entier !
Le 30/03/2025 à 23h22
Avez vous eu de tels désagrément de votre côté, sur iOS ou sur d'autres plateformes ?
Sinon, pour whatsapp, le principal problème, de mon point de vu, est que le cryptage bout-en-bout est sensé vous protéger de personnes malveillantes qui voudraient utiliser vos données. Hors, le plus gros danger en terme de données personnelles pour la majorité des gens est ... meta, qui contrôle le logiciel qui reçois et décrypte les données. Donc quel que soit le niveau de sécurité du cryptage, quel que soit le niveau de cryptage des méta-données, l'entité la plus dangereuse peut les lire comme un livre ouvert. Pour tous les gens "normaux" (i.e qui sont plus suivies et scrutées par les annonceurs que par les services de renseignement), la sécurité de whatsapp n'est rien de plus que du marketing.
De part sa structure non lucrative et open source, Signal ne présente pas ce problème.
Modifié le 31/03/2025 à 13h11
D'accord avec toi. La confiance fait partie des fondations d'une application et j'en ai personnellement aucune en meta. WhatsApp embarquant le chiffrement de bout en bout des messages de Signal, je n'irais donc pas jusqu'au point où meta lit le contenu des messages.
Après là n'est pas la valeur pour eux. Je pense que meta est plus friand des métadonnées notamment le qui parle à qui et du carnet de contacts. Meredith Whittaker ne laisse pas de doute sur le fait que le chiffrement de certaines métadonnées de Signal n'a pas été implémenté sur WhatsApp.
Modifié le 31/03/2025 à 21h09
Le 08/04/2025 à 10h47
Pour éviter cela, la "solution" est effectivement son propre serveur, ce qui est possible avec Matrix, pas avec les autres logiciels cités comme Signal ou encore moins Whatsapp.
Un collègue est effectivement allé jusqu'à avoir son propre serveur. Dans ce cas les metadonnés restent chez lui. En cas d'échange avec quelqu'un sur un autre serveur, seul les identifiants anonymes @toto:matrix.org sont échangés, et pas les IP ou autres, les IP étant celles du serveur sur lequel on a son compte Matrix.
Le 08/04/2025 à 11h18
Modifié le 27/03/2025 à 17h23
J'ai lu ailleurs que la MB avait minimisé le secret défense pour ne pas avouer la faute, ce qui a permis au journal de publier, puisque ce n'était pas classifié.
Je ne comprends donc pas ce "Refus de la Maison Blanche".
Sinon, en lisant le titre j'espérais trouver de vrais arguments à opposer au sempiternel "oé mais whatsapp ya tout le monde dessus".
Ceci est incompréhensible pour un néophyte. Il répondra "quel est le problème de partager la liste des contacts ou la photo du profil, puisque ce sont les contacts avec qui je veux discuter ?"
Mes contacts ne sont pas recherchés par le FBI, donc l'argument du "Whatsapp donne tes infos" ça leur passe bien u dessus de la tête... Ce n'est pas conrêt pour eux.
Anéfé, raison de plus pour adopter le même langage marketing : simple à comprendre, quitte à omettre des détails qui ne sont compris que par les geeks et les déjà convaincus...
Le 27/03/2025 à 17h15
Le 27/03/2025 à 17h18
Le 28/03/2025 à 10h09
The Atlantic attendait surtout le 1er point (pas de secret défense) pour pouvoir publier sans risquer de se faire arreter pour trahison (quand on connait le gouvernement actuel)
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?