Que penser de l’application de messagerie instantanée Signal ?

Il y a quelques semaines, WhatsApp a annoncé une modifications de ses conditions d’utilisations, suite à quoi, un nombre impressionnant de personnes ont littéralement migré vers Signal et/ou Telegram. Rappelons que ce changement ne concerne (pour le moment) pas l’Europe et que de toute façon WhatsApp partageait déjà les données de ses utilisateurs avec Facebook depuis… 2016 ! Je vous propose aujourd’hui de décortiquer l’application Signal.

Application de messagerie instantanée Signal

Depuis 2014…

La première version de l’application Signal – dont un bon nombre de personnes semblent avoir découvert l’existence tout récemment – a pourtant vu le jour en juillet 2014. L’application a ensuite changé de nom et a été constamment améliorée. Je vous passe tout l’historique, mais sachez que vous pouvez le retrouvez en détails sur cette page.

Les aspects positifs de Signal

Signal est une application de messagerie sécurisée open source, permettant via un chiffrement de bout en bout, des échanges de messages, de fichiers et d’appels audios/vidéos. Elle semble d’ailleurs être utilisée par de nombreux activistes et lanceurs d’alerte comme Edward Snowden qui se targuait d’un tweet en novembre 2015 « J’utilise Signal tous les jours ».

Pour les siksiks du terrier, Signal présente 3 aspects majeurs :
1. Une application entièrement open source. Je vous conseille la lecture de cet article pour comprendre les intérêts et enjeux de l’open source.
2. TOUS les échanges sont sécurisés par le chiffrement de bout en bout (de l’expéditeur au destinataire).
3. Les personnes derrière Signal sont toutes engagées pour la liberté d’expression et le respect de la vie privée.

Quelques remarques…

Le financement

Depuis 2018, Signal fonctionne à travers une fondation indépendante, sous la forme d’un organisme à but non lucratif. Celle-ci a pour avantage l’exemption d’imposition fiscale, mais aussi et surtout, de recevoir des dons du public et c’est principalement sous cette forme que le développement de Signal est assuré.
Avant 2018, différentes ONG soutenaient Signal dont une financée par le gouvernement américain. Ce financement poussait certain(e)s à se demander quels intérêts avait le gouvernement à soutenir Signal ?

Numéro de téléphone et contacts

Vous avez du le remarquer si vous utilisez Signal, mais il a fallu que vous donniez votre numéro de téléphone pour utiliser l’application. Et ce, pour deux raisons :
– vérifier que vous êtes bien à l’origine de cette utilisation
– vous mettre en contact avec… vos contacts

Là encore, cette demande de votre numéro de téléphone et l’accès à votre carnet d’adresses peuvent paraître une sorte d’intrusion dans vos informations personnelles

Signal envoie périodiquement votre numéro de téléphone de façon chiffrée sur des serveurs pour découvrir des contacts. Les noms ne sont jamais transmis et les renseignements ne sont pas stockés sur les serveurs de l’application. Les serveurs retournent les contacts qui sont des utilisateurs de Signal, puis supprime immédiatement ces renseignements. Votre téléphone sait maintenant qui de vos contacts est un utilisateur de Signal et vous avise si un de vos contacts commence juste à utiliser Signal. Vous pouvez retrouver cette explication et d’autres sur cette page en françaisDonc Signal analyse bien via des serveurs tous les numéros de téléphone de ses « abonnés » pour les mettre en relation, mais cela de façon chiffrée et « éphémère ».

Serveurs

Vous vous demandez peut-être comment vos messages transitent lorsque vous utilisez Signal… Ils transitent de façon chiffrée via des serveurs et visiblement parfois, des serveurs n’appartenant pas à Signal comme ceux de Google et d’Amazon. Si on peut faire sans doute confiance à Signal pour que les échanges de ses utilisateurs soit bien chiffrés (et sécurisés) sur les serveurs tiers, on peut à l’inverse constater que la fondation donne de l’argent à des sociétés pas vraiment reconnues comme engagées en faveur des utilisateurs.

Les services de Google

L’application Signal utilise sur Android, une fonctionnalité de Google appelée « Google Play Services » pour les notifications de message. J’avoue que mes connaissances actuelles ne me permettent pas de juger si cela est une menace pour la confidentialité des échanges et le respect de vos données. Par contre ce qui est clair, c’est que si vous utilisez un smartphone fonctionnant sous Android, de toute façon vos données partent déjà en masse chez Google…

Le fork Langis…

Le terme anglais « fork » désigne dans le langage courant, un nouveau logiciel créé à partir du code source d’un logiciel existant. Langis est donc un fork de Signal, dont le code source a été modifié pour se passer intégralement des Google Play Services mentionnés ci-dessus. Vous trouverez quelques informations supplémentaires à ce sujet ici et un lien de téléchargement ici.

Langis, un Signal sans Google

L’avis du terrier

Disons-le tout de suite, Signal est une excellente alternative si vous souhaitez vous séparer d’un WhatsApp phagocytant vos données pour les envoyer à Facebook. L’application est même supérieure à Telegram avec son code informatique open source et son chiffrement intégral de TOUS les échanges (ce qui n’est pas le cas de Telegram).
Si vous souhaitez cependant aller vers encore plus de confidentialité et de sécurité, je vous conseille des applications décentralisées comme Olvid, Session ou Briar…

Source et références

3 réponses

  1. Bonello dit :

    Top!!!Merci Siksik pour ces informations toujours très documentées et utiles

  2. Annie dit :

    Souvent des messages d’Amazone sur Signal. Serait ce parce que , comme mentionné dans votre article, Signal utilise les serveurs d Amazone . Je suppose que les messages ne transitent pas cryptés quand l emetteur ou le recepteur du message n’est pas sur Signal.
    Merci Siksik de votre éclairage

    • Siksik dit :

      En fait ces messages n’ont d’Amazon que le nom. D’autres messages trouvés sur Twitter évoquent eux Coinbase par exemple. Si des messages sont envoyés depuis/vers Signal à une autre personne qui n’utilise pas Signal, les numéros de téléphone (tous comme les messages), ne sont pas chiffrés. C’est peut-être là que des numéros sont récupérés, puis spammés… Je suis sûr que Signal va communiquer à ce sujet à un moment ou un autre.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *