WhatsApp, Telegram, Signal, Olvid : quelle application de messagerie adopter ?
Culture tech.
Et quelles protections offrent-elles ?
Particulièrement sensibles, les applications de messagerie instantanée contiennent des pans entiers de notre vie personnelle, voire professionnelle. Comment ces solutions garantissent-elles la confidentialité de nos échanges ? Éléments de comparaison.
Le succès des applications de messagerie instantanée
Mardi 25 octobre 2022. Vers 8h45, une panne géante de WhatsApp touche pendant un peu plus de deux heures plusieurs pays dont la France. Fortement médiatisée, cette interruption de service, qui n’était pourtant pas la première, a rappelé notre dépendance aux outils de messagerie.
Sur une application de messagerie instantanée transitent de nombreuses informations concernant notre vie privée et professionnelle (quand des groupes entre collègues se forment, par exemple). Une facilité d’usage qui explique le succès de ce type de solution.
Propriété du groupe Meta (ex Facebook), WhatsApp a franchi la barre des deux milliards d’utilisateurs quotidiens. Son concurrent direct, Telegram, revendique plus de 700 millions d’utilisateurs actifs mensuels.
Une telle popularité pose la question de la confidentialité des échanges. Le sujet a été ravivé en 2021 avec l’entrée en vigueur de nouvelles conditions d’utilisation de WhatsApp. Suscitant de nombreuses critiques, elles obligeaient ses utilisateurs à partager certaines données, telles que le nom, les images de profil ou les numéros de téléphone et de leurs contacts avec les autres entités du groupe Meta, dont Instagram et Messenger.
Face à la multiplication des procédures, notamment en Europe, WhatsApp a rétropédalé décidant que le refus de ces nouvelles conditions d’utilisation n’entraînerait aucune conséquence pour l’utilisateur.
Cette menace sur la confidentialité des données personnelles conduit à envisager le recours aux alternatives à WhatsApp, comme les applications de messageries chiffrées de bout en bout telles que Signal et Telegram ou l’alternative française Olvid.
Passage en revue de ces différentes solutions !
WhatsApp, l’application la plus populaire
Date de lancement : Janvier 2009
Siège social : Menlo Park, Californie (États-Unis)
WhatsApp doit une partie de son succès au chiffrement de bout en bout de toutes les communications. L’application de Meta le propose depuis avril 2016 et l’intégration du protocole cryptographique Signal développé par Open Whisper Systems et aujourd’hui régi par la Signal Foundation. Dans sa politique de confidentialité, WhatsApp explique que tous les messages – images, documents, fichiers audio et vidéo – sont chiffrés afin d’empêcher une partie tierce, y compris WhatsApp, de voir ces contenus.
Un article de Propublica, daté de septembre 2021, remettait en cause cet état de fait, notant que les équipes de modération auraient accès en clair aux messages signalés comme problématiques. Ce qui semble, a priori, justifié au regard de la finalité de leur mission. En revanche, les métadonnées ne seraient pas chiffrées. Ce qui permettrait de connaître la date d’un échange et l’identité des participants.
De même, les sauvegardes des messages en local ou sur un cloud de type Google Drive ou iCloud ont longtemps été non chiffrées. L’annonce de leur chiffrement remonte à septembre 2021.
Telegram, l’application venue du froid
Date de lancement : Août 2013
Siège social : Dubaï
Avec plus de 700 millions d’utilisateurs actifs mensuels, Telegram est le principal challenger de WhatsApp. Comme ce dernier, il a fait du chiffrement des messages son fonds de commerce.
L’origine de ses deux fondateurs, Nikolaï et Pavel Dourov, explique ce positionnement. Opposants au gouvernement russe, les deux frères ont dû quitter leur pays en 2014, un an après la création de Telegram, pour un voyage sans retour. L’application connaît un bon accueil en France où elle serait utilisée dans les plus hautes sphères de l’État, y compris l’Elysée.
Basé sur le protocole MTProto, le chiffrement de bout en bout ne fonctionnerait qu’entre deux interlocuteurs selon un article de 01net. Il n’est pas activé par défaut sauf pour les discussions secrètes. Cette option n’est pas disponible pour les conversations de groupe.
Comme l’explique l’éditeur dans sa politique de confidentialité, Telegram peut, pour améliorer la sécurité et prévenir les spams, collecter des métadonnées telles que l’adresse IP, le type d’appareil utilisé ou l’historique des changements de nom de l’utilisateur pour une durée de conservation de 12 mois maximum.
Depuis une mise à jour de décembre 2021, les propriétaires d’un groupe ou d’un canal souhaitant restreindre le contenu aux membres uniquement peuvent bloquer le transfert de messages ou la possibilité de faire des captures d’écran.
Signal, l’application utilisée par Edward Snowden
Date de lancement : Juillet 2014
Siège social : Mountain View, Californie (États-Unis)
Développée par Signal Foundation, une organisation américaine à but non lucratif, Signal chiffre de bout en bout toutes les communications – messages, photos, vidéos, appels. Elle s’appuie pour cela sur Signal Protocol, le même protocole cryptographique open source (sous licence GPL-3.0) qu’utilise WhatsApp pour les conversations, et ZRTP pour les appels vocaux et vidéo.
Utilisée par le lanceur d’alerte Edward Snowden, Signal est considérée comme l’alternative la plus sécurisée à WhatsApp. Comme expliqué dans sa politique de confidentialité, l’éditeur gère la protection des données selon le principe de la « privacy by default ». Signal ne collecte que le numéro de téléphone de l’utilisateur.
Revers de la médaille, en cas de changement de smartphone, vous ne retrouvez pas l’historique de vos conversations.
Olvid, l’alternative française
Date de lancement : Novembre 2018
Siège social : Paris
Sur son site, Olvid affiche la couleur. Il s’agirait de « la messagerie instantanée la plus sûre du monde ». Développée, entre autres, par deux docteurs en cryptographie français, l’application se distingue des autres solutions du marché par son mode d’authentification.
Pas de numéro de téléphone, d’adresse mail ou de nom de famille, le service ne requiert aucune donnée personnelle à l’inscription comme il est explicité dans la politique de confidentialité. Reposant sur plusieurs tiers de confiance, il ne disposerait pas d’annuaire centralisé.
Certifié CSPN par l’ANSSI, Olvid s’appuie, selon ses spécifications techniques, sur la fonction de hachage SHA-256, l’algorithme de chiffrement AES-256, et le protocole d’authentification de message HMAC.
Selon sa fiche Wikipédia, Olvid est composée d’une partie cliente publiée en open source (licence AGPLv3) et d’une partie serveur sous licence propriétaire. Les codes sources des applications Android et iOS ont été rendus publics sur GitHub.
Olvid se finançant grâce à des options payantes, la sécurisation des appels audio n’est pas incluse dans la version gratuite.
Le choix d’une application de messagerie pose la question de la souveraineté, un enjeu clé dans l’économie numérique. Comme pour tous les outils de cybersécurité ou les services cloud, face aux ténors américains, une alternative française est la bienvenue. Certifiée par l’ANSSI, offrant un haut niveau de sécurité, proposant des garanties en termes de confidentialité des données personnelles, Olvid tire clairement son épingle du jeu pour les entreprises concernées par la protection de documents en diffusion restreinte.
Pour les entreprises dont les enjeux de protection de données sont moindres, un large éventail d’applications de messagerie sécurisées reste à leur disposition. L’idéal est de choisir celle qui s’adapte le mieux à vos besoins et à vos usages, internes comme externes.