En effet, Telegram a gagné en popularité ces dernières années, mettant en avant le chiffrement et l’anonymat de ses conversations. Néanmoins, de nombreuses interrogations subsistent quant à la sécurité et au respect de la vie privée promis par cette application.
Plusieurs points concernant Telegram
-
Le chiffrement des messages est possible, mais n’est pas activé par défaut : si vous n’utilisez pas les “Secret Chat”, les messages sont stockés sur les serveurs de l’application et lisibles par Telegram.
-
Lorsque vous utilisez le “Secret Chat” avec une autre personne (Attention: l’inverse de Signal, vous ne pouvez pas chiffrer une conversation de groupe sur Telegram), vos messages sont chiffrés.
-
Cependant, la méthode de chiffrement est propriétaire et fermée (l’inverse d’un système libre et open source comme celle de Signal) ce qui fait qu’on ne peut pas savoir précisément comment les données sont chiffrées et qui peut y avoir accès. Ce fonctionnement opaque permettrait notamment aux développeurs de désactiver le chiffrement d’une conversation entre deux utilisateurs·trices s’ils le souhaitent1. Enfin, certaines personnes spécialistes en cryptographie comme Bruce Schneier pensent qu’il est très risqué de créer un nouveau système de chiffrement dont les failles ne sont pas encore connues, en comparaison à une méthode de chiffrement open source et constamment auditée par des entreprises spécialisées et par la communauté informatique. Il parle d'une pratique relevant de "la sécurité par l'obscurité". De plus, plusieurs failles de sécurité importantes y ont été découvertes en 20212.
-
Très utilisée par les terroristes, l’application est aujourd’hui censurée dans plusieurs pays et dans le collimateur de nombreux services de sécurité gouvernementaux. Si cela ne peut que conforter sur l’intégrité de Telegram qui pousse certaines autorités à le censurer, il reste une interrogation : avec leur système propriétaire de chiffrement, on ne peut pas savoir si des gouvernements ont négocié des portes d’accès (ou Back Doors en anglais) aux messages chiffrés échangés sur les “Secret Chat”.
-
L’application appartient à deux milliardaires Russes3 qui ont le désir de monétiser leur système en introduisant de la publicité dans les groupes publics et des fonctionnalités payantes.4.
-
À ce sujet, le 19 juin 2020, l’application Telegram, qui était censurée depuis 2018 en Russie (le pays d’origine de son développeur Pavel Durov), a été de nouveau autorisée. S’il peut s’agir de l’aveu du gouvernement d’un échec à empêcher l’utilisation de Telegram (au sein même de ses propres fonctionnaires), la raison mentionnée par la Russie et son développeur pose certaines questions.
En effet, La Russie considère que Telegram a suffisamment amélioré sa technologie de recherche et de suppression de contenus extrémistes et terroristes sans empiéter sur la vie privée des utilisateur·trice·s. Cette révélation se fait dans l’ignorance la plus totale de la façon dont Telegram procède pour “filtrer” et “supprimer” des contenus auxquels elle n’a soi-disant pas accès (grâce au chiffrement de bout en bout des “Secret Chat”). Enfin, le cheval de bataille de l’extrémisme pourrait masquer d’autres dérives de surveillance pour la Russie où l’on sait qu’il n’est pas autorisé de s’exprimer librement où de vivre lorsqu’on est homosexuel·le.5
Mais alors pourquoi Signal ?
En effet, Signal n’est pas la seule application de messagerie chiffrée. Le choix de Signal relève d’une balance entre plusieurs critères : la sécurité, la fiabilité, l’ouverture et le déploiement (le nombre de personnes à l’utiliser), afin que la démarche de passer vers une autre application de messagerie soit effective, non vécue comme une corvée, mais comme un choix personnel utile.
Concernant la sécurité et la fiabilité, le protocole de chiffrement créé par Signal opère depuis 2013 et est utilisé comme base pour de nombreux services fermés comme Google Allo ou WhatsApp (qui le modifient pour le rendre moins confidentiel). Il est régulièrement audité et observé par la communauté informatique, car il est Open Source. La Fondation Mozilla considère que Signal est probablement l’application de messagerie la plus sécurisée.
Concernant l’ouverture, la Signal Foundation qui maintient le développement de l’application est une organisation à but non lucratif dont le but est d’offrir le chiffrement de bout en bout sur un maximum de plateformes. Le financement est basé sur les dons et les subventions. Signal s’est récemment impliqué dans les manifestations #BlackLivesMatter en développant un outil pour flouter automatiquement les visages des photos envoyées avec Signal et en fabricant gratuitement des masques pour que les personnes qui manifestent ne soient pas reconnues par les outils de reconnaissance faciale utilisés par la police.
Plus d’infos
À cela s’ajoute son combat contre la censure en mettant en place dans les pays où Signal est interdite des “domaines écran”. Ils font croire au gouvernement que la personne se connecte à un domaine autorisé, mais celui-ci est ensuite redirigé vers les serveurs de Signal. Ces domaines écran sont en place en Égypte, aux Émirats Arabes Unis, à Oman et au Qatar. Seul l’Iran bloque encore à l’heure actuelle, car le service de domaines écran utilisé actuellement par Signal est américain et que l’Iran le bloque en réponse aux sanctions politiques américaines. En effet, Signal a changé plusieurs plusieurs fois de fournisseur de domaine écran ces dernières années. Notamment à cause de la pression de la Russie depuis 2018 sur Telegram a notamment fait plier Google et Amazon, deux gros fournisseurs de domaines écran auxquels faisait appel Signal, et qui ont décidé d’arrêter ce service. Malheureusement, les GAFAM se plient plus facilement aux législations d’un état autoritaire plutôt qu’à celle d’un état démocratique (je pense notamment aux impôts qu’elles doivent payer).
Source
Enfin concernant le déploiement, Signal a fait le choix d’une identification par numéro de Téléphone, à l’instar de WhatsApp ou de Telegram. Si ce choix est critiqué en matière de vie privée (puisqu’il implique de donner son numéro de téléphone pour pouvoir communiquer et permet à toute personne possédant votre numéro dans ses contacts de savoir que vous utilisez Signal), il peut être facilement détourné en achetant une carte à puce ou tout autre numéro de téléphone. Plus d’infos
Aussi, ce choix permet de simplifier le déploiement de l’application, car il supprime la nécessité de se connecter avec un identifiant et un mot de passe (en effet, une identité unique liée à votre numéro de téléphone est stockée sur votre appareil) et vous permet de retrouver très facilement tous vos contacts inscrits eux aussi sur Signal.
D’autre part, comme Telegram ou Whatsapp, le fonctionnement de Signal est centralisé, c’est-à-dire que les messages circulent essentiellement par l’intermédiaire des serveurs maintenues par la Fondation Signal.
Qu’est ce que cela veut dire ?
En fait, une autre façon de construire internet est de le faire de façon décentralisée (comme le Peer-to-Peer ou P2P), une méthode très performante qui se développe à la fois en interne dans de grandes infrastructures pour améliorer les transferts de données mais aussi dans de nombreux services en ligne. Il s’agit notamment d’une réaction à Internet tel qu’il s’est construit jusqu’à aujourd’hui en étant de plus en plus contrôlé par les GAFAM c’est-à-dire : centralisé. Malgré les avantages et la démarche politique que peut avoir la décentralisation, les développeurs de Signal motivent le choix d’un système centralisé par le fait qu’il est difficile de développer rapidement sur des réseaux décentralisés, qui ne seraient pas tous à jour et donc sécurisés.
Source
Cependant, malgré l’utilisation de votre numéro de téléphone, personne ne peut connaitre le contenu de vos conversations. Les seules informations (ou métadonnées) que possèdent Signal et qui sont rattachées au numéro de téléphone sont : la date de création du compte et la date de la dernière connexion. Ni les messages des conversations individuelles ou de groupes, ni les contacts, ni les informations de votre profil ou quoi que ce soit d’autre ne sont lisibles par Signal. Tout est stocké sur vos appareils, seuls les messages transitent par les serveurs de Signal dans l’attente d’être délivrés sur vos appareils avant d’être supprimés ensuite. Ces messages sont de toute façon chiffrés directement sur vos appareils et donc illisibles par Signal.
Plus d’infos
Conclusion
À l’heure actuelle, il y a sûrement plus anonyme et plus décentralisée que Signal comme Olvid ou Riot qui ne nécessitent aucun numéro de téléphone et fonctionnement de façon décentralisée.
Cependant, en vous proposant Signal, je souhaite mettre en avant une application de messagerie de tous les jours, sécurisée et respectueuse de notre vie privée.
C’est-à-dire une application permettant de discuter simplement avec un maximum de ses contacts, de pouvoir s’envoyer des mots de passe, des codes de carte bleue sans que nos conversations et métadonnées soient récupérées et revendues à d’autres entreprises, et d’organiser une manifestation sans être fiché·e·s par la police.
Plus d’infos
Ainsi, rien ne vous empêche d’utiliser une autre application de messagerie encore plus anonyme, ce qui est probablement le cas de journalistes ou d’activistes souhaitant communiquer dans d’autres pays où même un numéro de téléphone peut-être une trace dangereuse à laisser derrière soit.
-
https://fr.wikipedia.org/wiki/Telegram_(application)#S%C3%A9curit%C3%A9 ↩︎
-
https://www.lemondeinformatique.fr/actualites/lire-des-failles-dans-le-protocole-de-chiffrement-de-telegram-corrigees-83664.html ↩︎
-
ttps://fr.wikipedia.org/wiki/Telegram_(application)#Financement et https://www.clubic.com/pro/blog-forum-reseaux-sociaux/actualite-25577-sr-telegram-va-monetiser-son-app-avec-de-la-publicite.html ↩︎
-
https://www.developpez.com/actu/306506/La-Russie-cesse-ses-tentatives-de-blocage-de-Telegram-l-interdiction-s-etant-revelee-inefficace-et-les-Russes-ayant-trouve-des-moyens-d-acceder-au-service-de-messagerie/` ↩︎