Whatsapp est actuellement le service de messagerie le plus populaire au monde avec plus de 2 milliards d’utilisateurs réguliers. Comparez ça avec les 400 millions d’utilisateurs de Telegram et les 20 millions d’utilisateurs de Signal. Cependant, ces chiffres ne nous disent pas tout et c’est pourquoi j’ai décidé de vous présenter ce comparatif détaillé de ces trois plateformes en matière de sécurité et de protection de la vie privée.

 

 

Il est évident que Signal est la seule application que vous devriez utiliser parmi ces trois-là, mais il faut tout de même que vous compreniez pourquoi.

 

1. SÉCURITÉ ET CONFIDENTIALITÉ

WhatsApp

WhatsApp dispose d’un cryptage E2E (end-to-end) pour tous les modes de communication disponibles sur l’application : appels vidéo, appels vocaux, photos et autres messages. Cela signifie que seul vous et votre correspondant pouvez lire les messages que vous vous envoyez. En théorie, car nous allons voir qu’il y a un hic. Paradoxalement, WhatsApp utilise le protocole d’encryptage d’Open Whisper Systems, c’est-à-dire le protocole open source développé et utilisé sur Signal, qui est actuellement l’un des meilleurs au monde.

Cependant, il faut savoir que WhatsApp n’encrypte pas vos données backup, qu’elles soient stockées sur le cloud ou en local. C’est évidemment un grave problème. De plus, WhatsApp n’encrypte pas les métadonnées utilisées pour convoyer les communications entre deux appareils. Cela signifie qu’une tierce partie, par exemple une agence gouvernementale, qui aurait accès à ces métadonnées pourrait savoir à qui et quand vous avez envoyé tel ou tel message si WhatsApp le voulait.

Au niveau front end, WhatsApp dispose d’une fonction de verrouillage d’application par biométrie ou par authentification 2FA.

On peut donc considéré que sur le côté front end, WhatsApp est relativement sécurisé. Mais en matière de confidentialité, c’est une catastrophe, comme en témoigne cette brèche qui avait fait que des groupes privés se retrouvaient indexés dans les résultats de Google.

Telegram

En matière de sécurité, Telegram a souvent été très décevant. Certes, Telegram propose une encryption E2E pour les messages et les communications, mais curieusement, cette fonction n’est pas activée par défaut, ce qui peut vraiment être dangereux pour les nouveaux utilisateurs peu méfiants. De plus, l’encryptage proposé par Telegram est un trompe-l’œil. Certes, les messages envoyés au sein d’une conversation secrète sont cryptés, mais les conversations normales ne le sont pas. Ceci signifie que vos communications sur Telegram sont cryptées sur votre appareil, puis sont envoyées et décryptées sur les serveurs de Telegram avant d’être renvoyés sur l’appareil de votre correspondant. En clair, Telegram possède les clefs de cryptage sur ses serveurs et peut donc en théorie avoir accès à vos communications sur l’application.

Telegram se défend en affirmant que leur méthode de gestion du stockage des communications et des clefs de cryptage est conçue de telle manière qu’il faudrait une procédure légale de plusieurs juridictions de plusieurs pays pour contraindre l’entreprise à livrer les données de tel ou tel utilisateurs. Telegram affirme qu’à ce jour, ils n’ont jamais livré la moindre donnée de leurs utilisateurs à des entités privées ou gouvernementales.

Il est également important de savoir que Telegram utilise un protocole de cryptage propriétaire, appelé MTProto. Ce protocole est closed-source, ce qui signifie qu’aucun développeur ou cryptographe n’a été en mesure de le contrôler ou de l’auditer de façon indépendante à ce jour.

Au niveau front end, Telegram propose également une fonction de verrouillage de l’application. Mais dans l’ensemble, le bilan au niveau sécurité n’est pas reluisant pour Telegram. Par exemple, les conversations sur les groupes ne sont pas du tout cryptées. Pire encore, la version bureau de Telegram ne propose aucun cryptage des conversations, sauf sur la version macOs.

Signal

Sans conteste, Signal bat WhatsApp et Telegram en matière de sécurité, et de loin, que ce soit au niveau du back end ou du front end.

Comme dit plus haut, Signal utilise le protocole open-source du même nom sur son application pour crypter les communications. Et Signal ne crypte pas seulement les conversations écrites, vocales ou vidéo, mais également les métadonnées.

Grâce à son système de « sealed sender », personne ne peut être en mesure de savoir qui envoie des messages à qui, même pas Signal. Signal offre aussi la possibilité de relayer vos appels vocaux sur ses serveurs afin de dissimuler davantage votre identité, ce qui s’apparente un peu à ce que peut faire un VPN. De toute façon, Signal possède nativement une fonction pour masquer votre adresse IP. Vous pouvez également activer une fonction « clavier incognito » si vous avez peur du keylogging.

De plus, au niveau front end, Signal dispose bien sûr de plusieurs fonctions de verrouillage de l’application, par code pin, par authentification 2FA ou par biométrique. Vous pouvez également activer une option qui empêchera les captures d’écran, non seulement dans l’application mais aussi dans l’écran précédent. Enfin, Signal a récemment intégré une fonction pour flouter les visages sur les photos que vous partagez. C’est d’ailleurs une bonne occasion de rappeler qu’il vaut mieux éviter de publier son visage ou que ce soit sur internet, autant qu’il est possible. Signal propose aussi la destruction des messages envoyés au niveau de l’appareil du récipient ou permet d’envoyer des photos visibles une seule fois.

Ajoutons aussi que contrairement à WhatsApp et Telegram, Signal crypte par défaut les données stockées en local par un code pin à 4 chiffres. De plus, les appels en groupe sont également cryptés sur Signal.

En bref, sur le côté sécurité, Signal bat la concurrence à plates coutures.

 

2. Modèle économique, propriétaires et historique

Enfin, il est important de savoir qui contrôle WhatsApp, Telegram et Signal afin de juger complètement de ces applications.

WhatsApp

Créé en 2009 par deux anciens employés de Yahoo, WhatsApp est la propriété de Facebook depuis 2014. Jusqu’ici, Facebook a choisi de ne pas faire de WhatsApp une application aussi intrusive que ses autres produits comme Instagram, Messenger ou Snapchat. Mais les choses ont récemment changé, puisque Facebook a décidé de modifier la politique de confidentialité de WhatsApp. En bref, Facebook forcera les utilisateurs de WhatsApp à partager les données de l’application avec les autres plateformes du groupe, notamment pour étendre la pénétration du data mining, principalement à des fins de marketing. Cette affaire a provoqué un tollé assez considérable en Janvier 2021, démontrant que même les normies commencent à s’inquiéter un peu de leur confidentialité en ligne.

De plus, depuis que WhatsApp est la propriété de Facebook, de nombreux observateurs ont soupçonné l’existence de backdoors dans l’application et de collusion entre Facebook et les agences gouvernementales. Comme dit précédemment, WhatsApp ne crypte pas les métadonnées des utilisateurs, ce qui permet donc à Facebook ou à d’autres entités de tracker vos activités assez facilement. Rien de tout ceci n’est très surprenant de la part de Facebook, dont tout le modèle économique repose précisément sur le data mining et le tracking.

 

Telegram

Telegram a été créé en 2013 par les frères Nikolai Durov et Pavel Durov, tous deux russes et actuellement en exil forcé. Les deux frères ont fondé le fameux réseau social VK en 2006. En Avril 2014, Pavel Durov a été contraint de démissionner de son poste de PDG de VK après avoir refusé de fournir des informations sur les activistes des manifestations en Ukraine, ainsi que de bloquer la page d’Alexei Navalny sur VK.

C’est à partir de là qu’il a définitivement quitté la Russie pour fonder et développer Telegram. Durov se décrit comme un libertarien. Il est peut-être utile de noter qu’il a intégré le groupe des Young Global Leaders du Forum Economique Mondial en 2017.

Le profil de Durov vous inspire-t-il confiance ? À vous d’en juger. Ce qui est certain, c’est que le fait que Telegram fonctionne sous un protocole de cryptage closed-source et optionnel en fait une application dont il faut se méfier à priori.

 

Signal

L’application Signal appartient à la Signal Foundation, une organisation à but non-lucratif dirigée par le cryptographe Moxie Marlinspike et Brian Acton, le co-créateur de WhatsApp. Acton a quitté WhatsApp trois ans après le rachat par Facebook. C’est en 2018 que les deux hommes ont décidé de former la Signal Foundation. Cette entité gère et finance intégralement l’application.

Moxie Marlinspike (ce nom est un pseudonyme) a d’ailleurs été le fondateur d’Open Whisper Systems, la start-up qui a développé le protocole Signal à partir de 2013. Ce protocole était utilisé sur les applications TextSecure et Redphone jusqu’en 2014, lorsque ces deux applications ont été fusionnées en une seule pour former Signal.

Ces derniers mois, Signal a reçu l’approbation publique de nombreuses personnalités du monde de la tech, comme Edward Snowden, Jack Dorsey ou encore Elon Musk. De plus, Signal recoit continuellement les plus hautes notes du classement de l’EFF (Electronic Frontier Foundation), ce qui en fait l’une des applications de messagerie les plus sécurisées actuellement.

La Signal Foundation est essentiellement financée par des donations. En fait, la fondation a principalement été financée au départ par Brian Acton lui-même, par un prêt de près de 50 millions de dollars, une somme qui a été doublée fin 2018, toujours par Brian Acton. Je sais qu’Elon Musk a récemment déclaré être un donateur régulier, mais j’ignore si d’autres hauts profils comme lui participent également.

 

Conclusion

En bref, il est clair que Signal est beaucoup plus sécurisée et respectueuse de la vie privée que WhatsApp et Telegram. Certes, Signal ne propose pas les trucs « fun » comme les stories de WhatsApp ou toutes les très nombreuses fonctionnalités de Telegram. Ceci s’explique par le fait que Telegram et WhatsApp ont développé un côté très « réseau social » au fil du temps, avec un clair avantage de Telegram en la matière, notamment avec ses groupes qui peuvent aller jusqu’à 200000 membres, mais aussi la possibilité d’intégrer des bots ou de partager des fichiers allant jusqu’à 1,5 GB.

Entre ces trois applications, nous vous recommandons Signal sans hésiter. WhatsApp (et les autres produits Facebook) doivent être évités autant que possible. Quant à Telegram, vous êtes désormais prévenus.

Certes, Signal est loin d’être parfait et il faudra suivre l’évolution de la fondation qui contrôle l’application. D’ailleurs, Signal possède un défaut en commun, à savoir l’obligation de fournir un numéro de téléphone pour pouvoir utiliser l’application. Mais pour ceux qui savent, il est évidemment possible d’utiliser un forfait téléphone+data obtenu de façon anonyme.

Il existe une application qui à notre avis, combine le meilleur de Signal et de Telegram en matière de sécurité, de confidentialité et de fonctionnalités. C’est l’application Element dont je vous parlerai une autre fois.