Chiffrement: quelle messagerie instantanée est la plus sécurisée?

Ils ne la connaissent peut-être pas encore, mais ça devrait bientôt changer. Dans une circulaire envoyée à l'ensemble des ministres et à leurs membres de cabinet, la Première ministre Élisabeth Borne impose désormais l'utilisation de la messagerie française Olvid. Elle évoque notamment une "prise de conscience en matière de cybersécurité", face aux risques des autres messageries, même lorsqu'elles sont présentées comme chiffrées. Tour d'horizon.

Les plus sécurisées: Olvid et Signal

Si la consigne de la cheffe du gouvernement a une vocation ouvertement politique, mettant en avant la souveraineté numérique, elle s'appuie sur l'étude d'Olvid par le "gendarme de la cybersécurité", l'ANSSI. Olvid est ainsi la seule application de messagerie à être certifiée.

Parmi ses arguments: un chiffrement de bout en bout des messages (dont le contenu est donc inaccessible aux équipes d'Olvid), mais également une absence de métadonnées liées aux échanges (identité des utilisateurs qui échangent des messages, et heure d'envoi des messages, par exemple). Par ailleurs, Olvid ne s'appuie pas sur l'utilisation du numéro de téléphone et n'intègre aucun annuaire centralisé regroupant les informations de ses utilisateurs.

De son côté, Signal offre des garanties analogues, mais implique l'utilisation d'un numéro de téléphone et donc un annuaire centralisé. En revanche, Signal protège également les métadonnées, qui sont réduites à leur minimum, et que la plateforme assure supprimer.

Les chiffrées de bout en bout: Whatsapp et iMessage

Comme Signal, Whatsapp et iMessage chiffrent le contenu de bout en bout. En revanche, Whatsapp conserve toutes les métadonnées. Si le contenu du message reste inaccessible, la date et l'heure de l'envoi, ainsi que le numéro de téléphone de l'expéditeur et du destinataire sont conservés et transmis aux serveurs de Meta.

Par ailleurs, et contrairement à Signal ou Olvid, Whatsapp collecte une nuée de données personnelles qui peut intégrer la géolocalisation de l'utilisateur, des échanges ou des achats effectués dans des conversations Whatsapp avec des entreprises, et bien entendu leur carnet d'adresses.

De son côté, iMessage chiffre également les messages de bout en bout. Comme Whatsapp, Apple n'a donc aucune possibilité d'avoir accès à leur contenu. Sur son site, l'entreprise indique toutefois conserver "certaines informations" concernant l'utilisation d'iMessage pendant 30 jours. Ce qui pourrait là encore correspondre à des métadonnées.

En revanche, pour iMessage comme pour Whatsapp, la sauvegarde des messages dans le Cloud n'est de son côté pas chiffrée de bout en bout. Chaque utilisateur doit alors l'activer manuellement. Le choix de ne pas activer cette option par défaut s'explique par le risque supplémentaire pris par l'utilisateur, qui doit alors créer un mot de passe spécifique à cette sauvegarde, et qui s'expose à perdre l'accès à tout son historique en cas d'oubli.

Les non chiffrées: Telegram, Messenger… le SMS

D'autres applications, telles que Messenger ou Telegram, ne proposent par défaut aucun chiffrement des conversations (même si Telegram permet de l'activer). Ces applications, au même titre que la messagerie d'Instagram ou Twitter, ne proposent donc aucun niveau de sécurisation. Les équipes ont alors techniquement la possibilité d'accéder à tous les messages.

Le fonctionnement est analogue pour les SMS, qui ne sont accompagnés d'aucun chiffrement. Les opérateurs téléphoniques, dont les réseaux permettent de les faire transiter, ont donc un accès l'ensemble de leur contenu.