Sécurisez vos communications.

Si vous ne voulez pas que le gouvernement, des pirates informatiques, votre fournisseur de services Internet ou quiconque intercepte et lise vos communications privées, vous devriez vous assurer d’utiliser une application de messagerie sécurisée. Plus précisément, une application qui utilise la messagerie chiffrée.

Comme vous l’avez probablement remarqué (sauf si vous vivez au fin fond d’une caverne, ce qui semble être de plus en plus la réalité), la confidentialité sur Internet est devenue l’un des sujets les plus en vogue de la décennie. L’an dernier , le Congrès des États-Unis a abrogé des règlements qui favoriseront la protection de vos données face à la vente par des sociétés de réseaux sans fil et haut débit. En 2016, le Parlement du Royaume-Uni a adopté l’Investigatory Power Act (également appelée Charte de Snooper), une loi qui étend le pouvoir de surveillance de la communauté du renseignement et de la police britanniques. Et ne parlons pas de ce qu’il se passe dans l’actualité en ce moment concernant la vie privée. Si vous ne le faites pas déjà, il est grand temps de commencer à vous demander à quel point vos communications en ligne sont réellement sécurisées.

Qu’est-ce qui rend une application de messagerie sécurisée ?

Chiffrement de bout en bout

La principale chose à vérifier lorsque vous choisissez une application de messagerie est de savoir si elle utilise ou non un chiffrement de bout en bout. Le chiffrement de bout en bout signifie que vos discussions privées sont brouillées et que seuls l’expéditeur et le destinataire des messages disposent des « clés » pour les lire. Ainsi, personne d’autre que vous et la personne à qui vous parlez ne peut déchiffrer les messages.

Ironiquement, le chiffrement était autrefois perçu comme une lubie des paranoïaques ou des personnes ayant un besoin impérieux de garder un secret, comme les dissidents politiques. Ce n’est qu’après que le dénonciateur Edward Snowden a fuité des documents classifiés révélant programme mondial de surveillance de la NSA américaine que le monde a commencé à comprendre l’importance du chiffrement et de la confidentialité en ligne. Depuis, de nombreuses entreprises (notamment Facebook, Apple et Google) ont renforcé la protection par chiffrement de leurs logiciels.

Paramètres de chiffrement par défaut

Ce n’est pas parce qu’une application offre un chiffrement de bout en bout qu’il s’agit du paramètre par défaut. Certaines applications de messagerie nécessitent que vous définissiez les paramètres de l’application et activiez la fonctionnalité de chiffrement, tandis que d’autres chiffrent uniquement les messages dans certains scénarios (par exemple, les iMessages bleus par opposition aux messages textes verts). Comme l’importance du chiffrement est encore relativement nouvelle, de nombreuses personnes peuvent simplement supposer que l’application est sécurisée sans savoir si ou quand leurs messages sont chiffrés.

Code open source

Bien que les craintes d’ingénierie inverse ou de portes dérobées puissent donner l’impression qu’il est contre-intuitif pour un créateur d’application de révéler le code source d’une application, ce facteur est maintenant largement considéré comme un indicateur de l’intégrité de l’application. Le code open source ouvre l’application à la responsabilité externe et à l’audit d’experts, ce qui peut être utile pour attirer l’attention sur les faiblesses ou les vulnérabilités du code.

Collecte de données

Aujourd’hui, de nombreuses applications de messagerie ont commencé à utiliser le chiffrement de bout en bout mais certaines collectent encore des informations sur vous : les métadonnées. Les métadonnées sont un peu comme votre empreinte digitale électronique et comprennent des données telles que vos interlocuteurs (via votre liste de contacts), la durée et l’heure de vos conversations, ainsi que des informations sur l’appareil que vous utilisez, votre adresse IP, numéro de téléphone, et plus encore. La mise en place d’une application VPN sur votre appareil mobile, comme le VPN AVG Secure pour Android ou VPN AVG Secure pour iOS, est un moyen facile de protéger ce genre d’informations.

Classement des applications de messagerie populaires pour la sécurité

1. Signal

Logo de l'application de messagerie Signal

Connue à l’origine sous le nom de TextSecure Private Messenger, l’application Signal a été présentée comme la référence en termes de sécurité de la messagerie par les cryptographes Bruce Schneier et Edward Snowden. Bien que disponible sous la forme d’application de messagerie gratuite sur les téléphones iPhone et Android, Signal est davantage considérée comme une plateforme de messagerie car elle envoie des messages via sa propre infrastructure de données.

Fonctionnalités de sécurité de Signal

  • Chiffrement de bout en bout : Comme pour WhatsApp, les messages envoyés via l’application Signal ne peuvent être visualisés que par l’expéditeur et le destinataire. Même la société à l’origine de l’application, Open Whisper Systems, ne peut déchiffrer les messages. Outre les messages instantanés, vous pouvez également émettre des appels vocaux, des messages de groupe et des appels vidéo chiffrés.
  • Open Source : Signal possède un code open source visible par tous. Ce type de transparence permet un audit de routine et de s’assurer que la sécurité de l’application est toujours à jour.
  • Disparition des messages : Pour plus de sécurité, Signal vous permet de « faire disparaître » les messages envoyés et les messages reçus après un certain laps de temps.
  • Stockage de données : Contrairement à de nombreuses autres applications de messagerie, Signal stocke uniquement les métadonnées nécessaires au fonctionnement de l’application, telles que votre numéro de téléphone, des clés aléatoires et des informations de profil.
  • Sécurité des mots de passe : L’application vous permet également de définir un mot de passe pour la verrouiller. Ainsi, même si votre téléphone tombe entre de mauvaises mains, vos messages seront toujours protégés.

Risques de sécurité de Signal

Le meilleur atout de Signal, c’est que l’application ne présente pratiquement aucun risque de sécurité. Tant que les développeurs d’applications continuent d’être appliqués concernant la correction des vulnérabilités, Signal restera à la première place de la chaîne des applications de messagerie.

Installer Signal

Bien démarrer avec Signal : Assistance Signal

2. Wickr Me

Logo de l'application de messagerie Wickr Me

Disponible à la fois sur iPhone et Android, l’application Wickr s’est distinguée en proposant des options de messagerie sécurisées pour un usage personnel (Wickr Me) et pour les entreprises (Wickr Pro). Alors que Wickr Me est gratuit, Wickr Pro est un service payant fourni avec un essai gratuit de 30 jours.

Fonctionnalités de sécurité de Wickr Me

  • Chiffrement de bout en bout : En plus de la messagerie cryptée, Wickr a également annoncé cette année que son service « Me » proposera également une messagerie vocale et des appels chiffrés (ce que propose déjà la version Pro).
  • Détection de capture d’écran : Wickr a récemment annoncé la proposition d’une nouvelle fonctionnalité permettant aux utilisateurs de détecter des captures d’écran. Vous recevrez donc une notification si quelqu’un prend une capture d’écran du message que vous envoyez.
  • Protection de la superposition d’écrans : Sur les appareils Android, Wickr a sorti une nouvelle fonctionnalité qui permet aux utilisateurs de désactiver les « superpositions d’écran ». Elle empêche les utilisateurs d’interagir avec l’application lorsqu’une superposition est détectée, renforçant ainsi la protection de l’application face au TapJacking.
  • Claviers tiers : Sur iOS, Wickr vous permet de bloquer les claviers tiers. Vous pouvez ainsi protéger vos informations en empêchant les claviers tiers d’enregistrer des noms d’utilisateur, des mots de passe et d’autres informations saisies dans l’application.
  • Secure Shredder : Cette fonctionnalité ajoute une couche de sécurité pour vous assurer que vos fichiers déjà supprimés ne pourront pas être récupérés par des outils ou des technologies spécifiques. Bien que Wickr le fasse pour vous périodiquement, vous avez également la possibilité d’effacer manuellement les informations de votre téléphone.

Risques de sécurité de Wickr Me

Comme Signal, Wickr est généralement considéré comme presque infaillible du point de vue de la sécurité. Bien que la société ait été précédemment critiqué parce qu’elle gardait son code source fermé, l’année dernière, Wickr a finalement publié son protocole de chiffrement sur github. Si vous souhaitez approfondir l’aspect technique de la sécurité de l’application, vous pouvez consulter les Promesses de sécurité pour les clients de Wickr.

3. Dust

Logo de l'application de messagerie Dust

Anciennement connue sous le nom de Cyber Dust, l’application de messagerie inteligente Dust de Mark Cuban est disponible sur iOS et Android. Le but principal de l’application est d’envoyer des messages privés appelés « Dusts » (Poussières) à vos contacts (même si vous pouvez également envoyer des photos et des vidéos) ; ainsi, comme l’indique le nom de l’application, votre message « redevient poussière » et disparaît dans les 100 secondes suivant sa lecture. Les « Blasts » (Explosions) sont un autre type de message pouvant être envoyés à un groupe de personnes, mais lus en privé. Enfin, vous pouvez démarrer des discussions de groupe, simplement appelées « Groups » (Groupes).

Fonctionnalités de sécurité de Dust

  • Chiffrement de bout en bout : Le modèle de chiffrement de Dust est expliqué sur sa page Web, bien que le code ne soit actuellement plus disponible. Vous pouvez envoyer des messages texte chiffrés, des photo ou des messages vidéo, mais l’application ne permet pas les appels vocaux ou vidéo.
  • Pas de stockage permanent : Non seulement vos messages ne sont pas enregistrés de manière permanente sur votre téléphone ou sur les serveurs de l’entreprise (ils sont envoyés dans la mémoire RAM de l’application jusqu’à ce qu’ils soient accessibles par le destinataire), mais vous pouvez également effacer vos messages des appareils d’autres personnes.
  • Alertes de captures d’écran : Si une tentative de capture d’écran est détectée sur un téléphone Android, le nom de la personne qui a envoyé le message est supprimé, ce qui élimine efficacement le contexte de la conversation. Apple empêche les applications de bloquer des captures d’écran. Par conséquent, les utilisateurs d’iPhone reçoivent une notification si quelqu’un prend une capture d’écran de leur message envoyé.
  • « Dust » automatique : Les messages sont automatiquement effacés soit dans les 24 heures, soit dès leur lecture. Vous avez le choix.

Risques de sécurité de Dust

Dust ne présente actuellement aucun risque important pour la sécurité, mis à part les risques potentiels et le manque de transparence liés au fait que le code de l’application n’est pas open source.

4. WhatsApp

Logo de l'application de messagerie WhatsApp

Avec plus d’un milliard d’utilisateurs, WhatsApp est l’une des applications de messagerie les plus utilisées actuellement. La popularité de l’application est certainement l’un de ses points forts. Elle est disponible gratuitement sur iPhone et Android et ne diffuse aucune annonce. Vous pouvez facilement envoyer des messages texte, des photos, ainsi que de courts messages vidéo et vocaux. Mais les discussions WhatsApp sont-elles privées ?

Fonctionnalités de sécurité WhatsApp

  • Chiffrement de bout en bout : En avril 2016, WhatsApp a mis en œuvre un protocole de chiffrement ultra-sécurisé développé par Open Whisper Systems (la société à l’origine de l’application de messagerie sécurisée Signal) sur toutes les plateformes mobiles. Grâce à ce protocole, seuls l’expéditeur et le destinataire disposent des clés pour déchiffrer les messages envoyés via WhatsApp, ce qui signifie que personne d’autre ne peut les lire. Les appels vocaux et vidéo sont également chiffrés.
  • Vérification du chiffrement : WhatsApp dispose également d’un écran de « Vérification du code de sécurité » dans l’écran d’informations de contact qui vous permet de confirmer que vos appels et messages sont chiffrés de bout en bout.Le code est présenté à la fois comme un code QR et un nombre à 60 chiffres.
  • Vérification en deux étapes : Une fonctionnalité facultative, en deux étapes, vous permet d’améliorer la sécurité de votre compte en définissant un code PIN requis pour vérifier votre numéro de téléphone sur n’importe quel appareil.
  • Messages non stockés : Le seul moment où votre message est conservé sur un serveur WhatsApp est la période qui suit l’envoi et la transmission du message au destinataire. S’il ne peut pas être remis pour une raison quelconque, le message est supprimé du serveur au bout de 30 jours.

Risques de sécurité de WhatsApp

  • Sauvegardes non chiffrées : Les messages WhatsApp ne peuvent pas être interceptés lors de la transmission, mais qu’en est-il des sauvegardes de messages sur iCloud ou Google Drive ? La bonne nouvelle pour les utilisateurs d’iPhone, c’est que WhatsApp a ajouté une protection par chiffrement aux sauvegardes iCloud à la fin de l’année 2016. Mais les messages téléphoniques Android sauvegardés sur Google Drive ne sont pas chiffrés, ce qui les rend potentiellement vulnérables aux pirates informatiques, aux gouvernements qui pourraient légalement obliger Google à remettre vos messages, voire à Google lui-même.Alors, comment protéger votre confidentialité sur WhatsApp en tant qu’utilisateur Android ? Heureusement, vous pouvez désactiver les sauvegardes de messages WhatsApp sur Google Drive.
  • Problèmes de confidentialité Facebook : WhatsApp a été acheté par Facebook en 2014, transférant les questions concernant la réputation du conglomérat de médias sociaux en termes collecte de données invasive vers l’application de messagerie. Alors que Facebook garantit aux utilisateurs que la société n’a aucun moyen possible de visualiser les messages chiffrés de WhatsApp, WhatsApp a annoncé qu’elle partageraient des métadonnées de l’utilisateur avec Facebook, à des fins diverses, comme le ciblage comportemental.

5. Telegram

Logo de l'application de messagerie Telegram

Comptant plus de 200 millions d’utilisateurs sur iPhone et Android, l’application Telegram n’a cessé de gagner en popularité depuis ses débuts en 2013 et est connue pour sa fonctionnalité de discussion de groupe unique pouvant accepter jusqu’à 100 000 membres. Plus tôt cette année, toutefois, un conflit avec le gouvernement russe concernant le refus des fabricants d’applications de remettre leurs clés de chiffrement a entraîné leur interdiction totale en Russie. L’application Telegram a également été considérée comme controversée car elle a été désignée comme application de messagerie préférée de l’ISIS. Ces controverses ont également alimenté la discussion sur la responsabilité des applications de messagerie par rapport à l’application des lois mais aussi par rapport à la protection complète des données des utilisateurs.

Fonctionnalités de sécurité Telegram

  • Chiffrement de bout en bout : Telegram propose une fonctionnalité appelée « Secret Chat (conversation secrète) » qui vous permet de protéger vos messages avec un chiffrement de bout en bout. Cependant, la fonction n’est pas activée par défaut, vous aurez donc besoin de savoir comment l’activer.
  • Passcode Lock : Vous pouvez définir un code à 4 chiffres pour empêcher les intrus d’accéder à vos messages, ce qui peut être utile en cas de perte ou de vol de votre téléphone.
  • Vérification en deux étapes : Disponible dans les paramètres, la vérification en deux étapes vous oblige à utiliser à la fois un code SMS et un mot de passe (assurez-vous que vous connaissez les pré requis lors de la création d’un mot de pass) pour vous connecter à l’application. Vous pouvez également définir une adresse e-mail de secours si vous oubliez votre mot de passe.
  • Code open source : Tout le monde peut consulter le code source, le protocole et l’API de Telegram pour s’assurer qu’ils sont satisfaisants.
  • Concours de cracking Telegram : Télégram défie les « pirate » de tenter de briser le chiffrement de l’application et de déchiffrer les messages, avec une récompense de 300 000 $ à la clé pour tous ceux qui sont en mesure de le faire.
  • Messages autodestructeurs : Comme de nombreuses autres applications de messagerie, Telegram propose également un minuteur d’autodestruction (pour les conversations secrètes uniquement) qui supprime les messages texte et les médias privés dans un délai prédéfini.
  • Déconnexion à distance : Étant donné que vous pouvez vous connecter à Telegram à partir de plusieurs appareils à la fois (Web, PC, tablette, smartphone, etc.), l’application vous permet de vous déconnecter d’autres sessions de l’appareil que vous utilisez actuellement via le menu Paramètres. De cette façon, si votre appareil est perdu ou volé, vous pouvez toujours vous assurer que vos messages sont sécurisés.
  • Auto-destruction de compte : Une fois votre compte inactif pendant un certain temps (six mois par défaut), votre compte s’autodétruira automatiquement et effacera complètement tous vos messages et supports.

Risques de sécurité Telegram

  • Le chiffrement de bout en bout n’est pas défini par défaut : Vous devez activer manuellement la fonction de «Conversation secrète » de Telegram, sinon les discussions ne sont chiffrées qu’entre votre appareil et le serveur de Telegram.
  • Consignation des données de discussion : Si vous ne désactivez pas la fonction Secret Chat, vos données de discussion seront enregistrées sur les serveurs de Telegram. L’entreprise déclare avoir mis ce système en place si vous perdez votre appareil et souhaitez récupérer vos messages mais, du point de vue de la sécurité, c’est inadmissible.
  • Technologie de chiffrement éventuellement défaillante : Telegram a créé son propre protocole MTProto, au lieu d’en utiliser un qui a déjà fait ses preuves comme le protocole Signal. De nombreux experts ont remise en question le raisonnement derrière cela et ont exprimé leur scepticisme quant au manque de transparence du protocole.

6. iMessage Apple

Logo de l'application iMessage

Le service de messagerie instantanée développé par Apple Inc., iMessage, est pris en charge par l’application Messenger sur iOS version 5.0 et ultérieure. En permettant aux utilisateurs d’envoyer des SMS, des documents, des vidéos, des photos, des informations de contact et des messages de groupe sur Internet, iMessage est très populaire parmi les utilisateurs d’iPhone (et ne peut être utilisé qu’entre eux). Nous avons déjà passé en revue les conseils pour que votre iPhone reste sûr, mais iMessage est-elle une application vraiment sécurisée ?

Fonctionnalités de sécurité iMessage

  • Chiffrement de bout en bout : Cependant, le chiffrement de bout en bout d’iMessage protège uniquement les messages entre utilisateurs de l’iPhone (qui apparaissent en bleu). Si vous envoyez un message à un utilisateur Android, par exemple, le message est envoyé sous forme de message texte normal (en vert) et n’est pas chiffré. Contrairement à beaucoup d’autres applications sur cette liste, il semble que Apple ne proposera pas iMessage pour Android. Bien que iMessage n’autorise pas directement les appels vidéo ou vocaux, son application jumelle FaceTime le permet (avec une protection chiffrée).
  • Messages autodestructeurs : De nombreux utilisateurs d’iMessage ne savent pas que l’application propose une fonctionnalité de contrôle de la durée d’affichage de chaque photo, vidéo ou message avant sa disparition. Vous pouvez également choisir le nombre de fois que le spectateur peut voir le message. Cependant, cette fonctionnalité n’est disponible qu’avec iOS 10 et versions ultérieures.
  • iMessages supprimés des serveurs : Vos messages chiffrés ne restent sur les serveurs Apple que pendant 7 jours avant d’être supprimés.

Risque de sécurité iMessage

  • Faiblesses de chiffrement : En 2016, les chercheurs de l’Université Johns Hopkins ont révélé un défaut dans l’implémentation du chiffrement d’Apple qui pourrait rendre iMessage vulnérable au déchiffrement des messages. Bien que le défaut ait été rapidement corrigé, il posait néanmoins des questions sur le niveau de sécurité du protocole de chiffrement de l’application, qui est une source fermée et ne peut pas être audité par une tierce partie.
  • Sauvegardes iCloud : Si vous sauvegardez vos iMessages sur iCloud, ces messages sont chiffrés sur iCloud à l’aide d’une clé contrôlée par la société, et non par vous. Cela signifie que, si votre iCloud est piraté ou assigné à comparaître, le défaut pourrait être révélé. Et, tandis qu’Apple s’est engagé fermement à ne pas créer de « portes dérobées » dans leur système ni à affaiblir le chiffrement, la société et d’autres entreprises du secteur des technologies coopèrent depuis longtemps avec les autorités pour leur remettre des informations stockées dans le Cloud.

7. Facebook Messenger

Logo de l'application Facebook Messenger

L’application de messagerie de Facebook est disponible pour les téléphones iPhone et Android. Elle constitue un moyen pratique de rester en contact avec ses amis et sa famille grâce à sa popularité.

Fonctionnalités de sécurité de Facebook Messenger

  • Chiffrement de bout en bout : En 2016, Facebook a ajouté sa fonctionnalité Conversations secrètes pour sécuriser les messages avec le protocole de chiffrement de bout en bout de Signal (également utilisé par WhatsApp). Cependant, Signal et WhatsApp disposent d’un chiffrement de bout en bout par défaut, alors que les Conversations secrètes doivent être activées.
  • Messages autodestructeurs : Vous pouvez configurer l’autodestruction des messages Facebook Messenger après un certain temps (entre cinq secondes et 24 heures).

Risques de sécurité Facebook Messenger

  • Chiffrement non défini par défaut : Comme mentionné ci-dessus, le chiffrement de bout en bout des messages doit être activé par l’utilisateur. Cela signifie que les messages envoyés sans cette fonctionnalité ne sont chiffrés que lorsqu’ils sont envoyés au serveur de Facebook, puis chiffrés à nouveau lorsqu’ils sont envoyés au destinataire (alors que l’aspect de bout en bout se situe directement entre l’expéditeur et le destinataire). Ainsi, une copie du message reste sur les serveurs de Facebook.
  • Problèmes de confidentialité : Dans le sillage du scandale Facebook_Cambridge Analytica, les préoccupations concernant la collecte excessive de données par Facebook n’ont fait que s’intensifier, si bien que beaucoup d’utilisateurs se demandent comment protéger leurs données personnelles lorsqu’ils sont sur Facebook Pire encore, les médias ont révélé en mars que Facebook collecte des informations sur les appels et les messages texte de ses utilisateurs Android via une autorisation qui permet à l’application d’importer les contacts de leur téléphone, confirmant les doutes sur la sécurité et la confidentialité de Facebook Messenger.

Applications à éviter : Google Hangouts

Logo de l'application de messagerie Google Hangouts

Bien que l’application soit disponible gratuitement sur iOS et Android, Google Hangouts est confrontée à des problèmes de confidentialité et de sécurité. Même si elle chiffre les conversations Hangout, elle n’utilise pas de chiffrement de bout en bout. Les messages sont chiffrés « en transit ». Cela signifie qu’ils ne sont chiffrés qu’entre votre appareil et les serveurs de Google. Une fois les données stockées sur un serveur, Google y a pleinement accès. Si on le lui demande, Google peut accéder à des sessions de communication privées et transmettre ces informations aux agences gouvernementales. Et avec le Rapport de transparence Google révélant que la société reçoit et répond effectivement souvent à des demandes d’informations sur les clients, le problème est réel.

De plus, les images envoyées via Hangouts sont partagées via des URL publiques, ce qui signifie que pratiquement tout le monde ayant quelques connaissances sur les URL) peut voir vos images privées. Vous ne devriez clairement pas utiliser cette application pour envoyer des photossensibles.

Comment assurer sa sécurité ?

Nous sommes convaincus que tout le monde a droit à la confidentialité en ligne, mais la protection de ce droit nécessite parfois un peu de proactivité de ceux qui aimeraient en bénéficier librement. Dans un monde idéal, tout le monde utiliserait des applications de messagerie ultra sécurisées telles que Signal ou Wickr pour communiquer. Mais, avec la popularité d’applications moins sécurisées ou douteuses pour la vie privée telles que Facebook Messenger ou WhatsApp, le juste milieu est parfois plus pratique.

Si vous choisissez d’utiliser une application de messagerie moins sûre, associez-la avec une protection VPN, comme le VPN AVG Secure, pour protéger vos renseignements autant que possible.

Source : Le développeur des applications de sécurité AVG

Autres VPN réputés surs: NordVPN, ExpressVPN.
Lire un comparatif sur les VPN