Meilleures messageries sécurisées

Si vous ne voulez pas que vos communications privées soient interceptées ou lues par votre gouvernement, des pirates ou votre fournisseur d’accès Internet, utilisez une application de messagerie sécurisée. Plus précisément, une application qui chiffre les messages.

Comme vous avez dû le remarquer, la confidentialité sur Internet est devenue l’un des sujets les plus en vogue de la décennie. En 2017, le Congrès des États-Unis a abrogé des règlementations pour empêcher les données personnelles d’être vendues par des sociétés de réseaux sans fil et haut débit. En 2016, le Parlement du Royaume-Uni a adopté l’Investigatory Power Act (ou Charte de Snooper) pour étendre le pouvoir de surveillance des agences de renseignement et de la police britanniques. En 2018, l’Australie a forcé le célèbre service de messagerie WhatsApp à intégrer des spywares (logiciels espions) pour pouvoir lire les conversations des utilisateurs. Sans parler des scandales de confidentialité qui font actuellement la une des journaux. Si vous ne vous sentez pas encore concerné, il est grand temps de vous demander si vos communications sont réellement sécurisées, et quelle application utiliser pour qu’elles le soient.

En quoi une application de messagerie est-elle sécurisée ?

Une application de messagerie cryptée offre plus que des widgets et une galerie d’emojis : elle comprend des fonctionnalités qui s’exécutent en arrière-plan pour la sécuriser.

Chiffrement de bout en bout

Pour choisir une messagerie secrète, la première chose à vérifier est si elle utilise ou non un chiffrement de bout en bout. Le chiffrement de bout en bout signifie que vos discussions sont brouillées et que seuls l’expéditeur et le destinataire des messages disposent des « clés » pour les lire. Ainsi, personne d’autre que vous et votre interlocuteur ne peut déchiffrer les messages.

Ironiquement, le chiffrement était autrefois perçu comme une lubie des paranoïaques ou des personnes ayant un besoin impérieux de garder un secret, comme les dissidents politiques. Le public n’a compris l’importance du chiffrement et de la confidentialité en ligne qu’après les révélations du lanceur d’alertes Edward Snowden sur des documents classifiés (à propos du programme de surveillance global de la NSA). Depuis, de nombreuses entreprises (notamment Facebook, Apple et Google) ont renforcé le chiffrement de leurs logiciels.

Paramètres de chiffrement par défaut

Ce n’est pas parce qu’une application offre un chiffrement de bout en bout que celui-ci est configuré par défaut. Certaines applications de messagerie doivent être configurées pour activer le chiffrement, tandis que d’autres chiffrent les messages selon leur type (par exemple, les iMessages bleus et les SMS verts). L’importance du chiffrement étant relativement récente, de nombreux utilisateurs se disent que leur appli est sûre sans savoir si leurs messages sont chiffrés ou non. Vous devez donc utiliser une application avec un chiffrement activé par défaut.

Code open source

Révéler le code source d’une application peut paraître contre-intuitif aux développeurs (à cause de la rétro-ingénierie et des portes dérobées), mais cette tendance est désormais largement vue comme un indicateur d’intégrité pour l’application. Le code open source ouvre l’application à la responsabilité externe et à l’audit d’experts, ce qui peut être utile pour détecter les faiblesses ou vulnérabilités d’un code.

Collecte de données

De nos jours, de nombreuses applications de messagerie utilisent le chiffrement de bout en bout, mais certaines continuent de recueillir des informations sur vous : les métadonnées. Les métadonnées sont un peu comme votre empreinte digitale électronique. Il s’agit de données telles que votre liste de contacts ou la durée et l’heure de vos conversations, mais aussi de données sur votre appareil, votre adresse IP, numéro de téléphone, etc. Installer un VPN sur votre téléphone est un bon moyen de bloquer la collecte de ce type d’informations personnelles. Le VPN AVG Secure pour Android et le VPN AVG Secure pour iOS peuvent vous aider à préserver facilement votre confidentialité en ligne.

Essayer gratuitement le VPN AVG Secure pour Android

Quelles sont les meilleures messageries Android et iPhone ?

1. Signal

Anciennement TextSecure Private Messenger, l’appli Signal a été présentée comme l’étalon-or de la messagerie sécurisée par le cryptologue Bruce Schneier, par Edward Snowden, par le Congrès des États-Unis et même par la Commission européenne. Elle est gratuite et fonctionne sur les PC de bureau et sur les téléphones Android et iPhone. Elle envoie les messages à travers sa propre infrastructure de données.

Fonctionnalités de sécurité de Signal

• Chiffrement de bout en bout
  Les messages envoyés via l’appli ne peuvent être lus que par l’expéditeur et le destinataire. Pas même la société gérant l’appli (Open Whisper Systems) ne peut déchiffrer vos messages. En plus d’envoyer des messages instantanés, vous pouvez aussi passer des appels vocaux et vidéo ou envoyer des messages groupés.
• Open Source
  Signal a un code open source visible par tous. Ce type de transparence permet un audit régulier et garantit le maintien de la sécurité de l’application.
• Messages éphémères
  Pour plus de sécurité, Signal vous permet de « faire disparaître » les messages envoyés et reçus au bout d’un certain temps.
• Stockage de données minimal

  Contrairement à de nombreuses autres applications de messagerie, Signal stocke uniquement les métadonnées nécessaires au fonctionnement de l’application (numéro de téléphone, clés aléatoires, informations de profil). 

• Sécurité par mot de passe 

  Vous pouvez aussi définir un mot de passe pour verrouiller l’appli. Ainsi, même si votre téléphone tombe entre de mauvaises mains, vos messages seront toujours protégés.

Risques de sécurité de Signal 

Le meilleur atout de Signal, c’est que l’application ne présente pratiquement aucun risque de sécurité. Tant que les développeurs de Signal veilleront à la correction de ses vulnérabilités, l’appli restera en tête des meilleures applications de messagerie.

2. Wickr Me

Disponible à la fois sur iPhone et Android, Wickr s’est démarquée en proposant une version de sa messagerie pour les particuliers (Wickr Me) et pour les entreprises (Wickr Pro). Wickr Me est gratuit et Wickr Pro est payant (avec essai gratuit de 30 jours). 

Fonctionnalités de sécurité de Wickr Me 

• Chiffrement de bout en bout
  En plus des messages chiffrés, Wickr a annoncé cette année qu’elle intégrerait la fonction d’appels et de messages vocaux à sa version « Me » (déjà disponible dans la version Pro). 

• Détection de captures d’écran
  Wickr a récemment annoncé l’intégration d’une nouvelle fonctionnalité permettant aux utilisateurs de détecter la prise de captures d’écran. L’appli vous envoie une notification si quelqu’un prend une capture d’écran de votre message. 

• Protection contre la superposition d’écrans
  Sur Android, Wickr a sorti une nouvelle fonctionnalité permettant aux utilisateurs de désactiver la « superposition d’écran ». Elle empêche les utilisateurs d’interagir avec l’application en cas de superposition, renforçant ainsi la protection de l’appli face au tapjacking (détournement de bouton). 

• Clavier tiers
  Sur iOS, Wickr permet de bloquer les claviers tiers. Vous pouvez ainsi protéger vos informations en empêchant les claviers tiers d’enregistrer des noms d’utilisateur, des mots de passe ou autres informations saisies dans l’application. 

• Broyeur sécurisé
  Cette fonctionnalité veille à ce que les fichiers que vous avez supprimés ne puissent pas être récupérés par des outils ou des technologies spécialisés. Wickr le fait régulièrement pour vous, mais vous pouvez aussi effacer manuellement les informations de votre téléphone. 

Risques de sécurité de Wickr Me 

Tout comme Signal, Wickr est considéré comme presque infaillible du point de vue de la sécurité. Après avoir été critiqué en 2017 pour garder son code source secret, Wickr a finalement publié son protocole de chiffrement sur GitHub. Pour en savoir plus sur l’aspect technique de la sécurité de l’application, vous pouvez consulter les Promesses de sécurité pour les utilisateurs de Wickr.

3. Dust

Anciennement Cyber Dust, l’application de messagerie inventée par Mark Cuban est disponible sur iOS et Android. Elle permet d’envoyer des « dusts » (messages privés, photos ou vidéos) disparaissant 100 secondes après avoir été lus par leur destinataire (« dust » signifie « poussière »). Les « Blasts » (explosions) correspondent aux messages groupés qui sont lus en privé. Et la fonction « Groups » permet de lancer des conversations de groupe.

Fonctionnalités de sécurité de Dust

• Chiffrement bout en bout
  Dust utilise un « chiffrement fort », bien qu’on ne puisse pas visualiser son code. L’appli permet d’envoyer des SMS secrets, des photos ou des messages vidéo cryptés, mais elle ne permet pas les appels vocaux ou vidéo.

• Stockage temporaire
  Non seulement vos messages ne sont pas enregistrés définitivement sur votre téléphone ou sur les serveurs de l’entreprise (ils sont envoyés dans la mémoire RAM de l’application jusqu’à leur consultation par le destinataire), mais vous pouvez également les effacer des appareils d’autres personnes. 

• Alertes de capture d’écran
  Si une tentative de capture d’écran est détectée sur un téléphone Android, le nom de la personne qui a envoyé le message est supprimé, éliminant ainsi tout le contexte de la conversation. Apple empêche les applications de bloquer les captures d’écran. Les utilisateurs d’iPhone ne reçoivent donc qu’une notification en cas de capture d’écran d’un de leur message. 

• Auto « Dust »
  Les messages sont automatiquement effacés, soit dans les 24 heures, soit immédiatement après leur lecture. À vous de choisir.

Risques de sécurité de Dust

Actuellement, Dust ne présente aucun risque de sécurité important, mis à part les risques potentiels et le manque de transparence liés au fait que le code de l’application ne soit pas open source.

4. WhatsApp

Avec plus de 300 millions d’utilisateurs, WhatsApp est l’une des applications de messagerie les plus utilisées. Sa popularité est certainement l’un de ses atouts. Elle est disponible gratuitement sur iPhone et Android et n’affiche aucune publicité. Elle permet d’envoyer des messages, des photos et des messages vidéo et vocaux. Mais les discussions WhatsApp sont-elles privées ?

Fonctionnalités de sécurité de WhatsApp

• Chiffrement de bout en bout
  En avril 2016, WhatsApp a implémenté un protocole de chiffrement ultra-sécurisé (développé par Open Whisper Systems, la société à l’origine de l’application Signal) sur toutes les plateformes mobiles. Grâce à ce protocole, seuls l’expéditeur et le destinataire disposent des clés pour déchiffrer les messages envoyés via WhatsApp, ce qui signifie que personne d’autre ne peut les lire. Les appels vocaux et vidéo sont également chiffrés.

• Vérification du chiffrement
  WhatsApp dispose aussi d’une fonction de « Vérification du code de sécurité » (dans l’écran d’informations de contact) permettant de confirmer le chiffrement de bout en bout de vos appels et messages. Ce code est présenté à la fois comme un code QR et un nombre à 60 chiffres. 

• Vérification en deux étapes
  Une fonctionnalité optionnelle en deux étapes permet de renforcer la sécurité de votre compte en définissant un code PIN pour vérifier votre numéro de téléphone sur n’importe quel appareil. 

• Non-stockage des messages
  Le seul moment où votre message est conservé sur un serveur WhatsApp, c’est entre l’envoi et la transmission du message au destinataire. Si, pour une raison quelconque, le message ne peut pas être remis, il est supprimé du serveur au bout de 30 jours.

Risques de sécurité de WhatsApp

• Sauvegardes non chiffrées
  Les messages WhatsApp ne peuvent pas être interceptés lors de leur transmission, mais qu’en est-il des sauvegardes sur iCloud ou Google Drive ? La bonne nouvelle pour les utilisateurs d’iPhone, c’est que fin 2016, WhatsApp a ajouté une protection par chiffrement aux sauvegardes sur iCloud. Mais pour les utilisateurs d’Android, les messages téléphoniques sauvegardés sur Google Drive ne sont pas chiffrés, ce qui les expose potentiellement aux pirates, à Google-même ou aux gouvernements qui pourraient légalement obliger Google à leur remettre vos messages. Alors comment protéger votre confidentialité sur WhatsApp si vous utilisez Android ? Heureusement, vous pouvez désactiver les sauvegardes de messages WhatsApp sur Google Drive. 
• Problèmes de confidentialité liés à Facebook
  Facebook a acheté WhatsApp en 2014, et le conglomérat de réseaux sociaux n’a pas la meilleure des réputations lorsqu’il s’agit de collecte de données... Facebook a garanti à ses utilisateurs qu’il n’avait aucun moyen de visualiser les messages chiffrés de WhatsApp, mais WhatsApp a annoncé qu’elle partagerait des métadonnées avec Facebook à des fins diverses telles que la publicité ciblée.

5. Telegram

Avec plus de 200 millions d’utilisateurs sur iPhone et Android, l’application Telegram n’a cessé de gagner en popularité depuis son lancement (2013). Elle est connue pour sa fonctionnalité de discussion groupée pouvant inviter jusqu’à 100 000 membres. En 2018, elle a été entièrement bannie de Russie après avoir refusé de remettre ses clés de chiffrement au gouvernement. L’appli Telegram a fait l’objet d’une controverse après avoir été désignée comme l’application de messagerie préférée de Daech. Ces controverses ont également alimenté la discussion sur la responsabilité des applications de messagerie par rapport à l’application des lois mais aussi par rapport à la protection complète des données des utilisateurs.

Fonctionnalités de sécurité de Telegram

• Chiffrement de bout en bout
  La fonctionnalité « Secret Chat » permet de protéger ses messages avec un chiffrement de bout en bout. Cette fonction n’est cependant pas activée par défaut, vous devez donc savoir comment l’activer. 

• Code d’accès
  Vous pouvez définir un code à 4 chiffres pour empêcher quelqu’un d’accéder à vos messages (très utile en cas de perte ou de vol de votre téléphone). 

• Vérification en deux étapes
  Disponible dans les paramètres, la vérification en deux étapes exige à la fois un code SMS et un mot de passe (veillez à suivre les prérequis lors de la création d’un mot de passe) pour vous connecter à l’application. Vous pouvez aussi définir une adresse e-mail de secours en cas d’oubli du mot de passe. 

• Code open source
  Tout le monde peut consulter le code source, le protocole et l’API de Telegram pour s’assurer de leur qualité. 

• Concours de cracking Telegram
  L’appli défie les pirates de casser leur chiffrement et de décoder leurs messages. À la clé, une récompense de 300 000 dollars américains. Cela permet de garantir la détection et la correction de toute vulnérabilité.

• Autodestruction des messages
  Comme de nombreuses autres applications de messagerie, Telegram propose un minuteur d’autodestruction (uniquement pour les Secret Chats) qui supprime les messages et les médias privés dans un délai prédéfini. 

• Déconnexion à distance
  Comme vous pouvez vous connecter à Telegram depuis plusieurs appareils (Web, PC, tablette, smartphone, etc.), l’application vous permet de fermer votre session sur l’appareil utilisé. Ainsi, en cas de perte ou de vol de votre appareil, vous pouvez toujours veiller à la sécurité de vos messages. 

• Autodestruction du compte
  Si votre compte est inactif pendant un certain temps (six mois par défaut), il s’autodétruira automatiquement et effacera l’intégralité de vos messages et médias.

Risques de sécurité de Telegram

• Le chiffrement de bout en bout n’est pas configuré par défaut
  Vous devez activer manuellement la fonction de « Secret Chat », sinon les discussions ne seront chiffrées qu’entre votre appareil et le serveur de Telegram. 

• Données de connexion
  Si vous n’activez pas la fonction Secret Chat, vos données de discussion seront enregistrées sur les serveurs de Telegram. L’entreprise déclare avoir mis ce système en place au cas où vous souhaiteriez récupérer vos messages (en cas de perte de l’appareil), mais en termes de sécurité, c’est inadmissible. 

• Chiffrement potentiellement imparfait
  Telegram a créé son propre protocole (MTProto) au lieu d’en utiliser un qui a déjà fait ses preuves (tel que le protocole Signal). De nombreux experts ont remis en question cette décision et ont exprimé leur scepticisme quant au manque de transparence du protocole.

6. iMessage d’Apple

iMessage, le service de messagerie instantanée développé par Apple Inc., est pris en charge par l’application Messenger sur iOS versions 5.0 et ultérieures. L’appli permet d’envoyer des SMS, des documents, des vidéos, des photos, des informations de contact et des messages de groupe sur Internet. Elle est très populaire parmi les utilisateurs d’iPhone (et ne peut être utilisée qu’entre eux). Nous avons déjà partagé nos conseils pour sécuriser votre iPhone, mais iMessage est-elle une application vraiment sécurisée ? 

Fonctionnalités de sécurité d’iMessage 

• Chiffrement de bout en bout 
  Le chiffrement de bout en bout d’iMessage ne protège que les messages entre utilisateurs d’iPhone (ils apparaissent en bleu). Si vous envoyez un message à un utilisateur Android, par exemple, le message est envoyé sous forme de SMS normal (en vert) et n’est pas chiffré. Contrairement aux autres applications présentées ici, Apple n’a pas l’air décidée à proposer iMessage sur Android. Si iMessage n’autorise pas directement les appels vidéo ou vocaux, son application jumelle, FaceTime, le permet (avec un chiffrement). 

• Autodestruction des messages
  De nombreux utilisateurs d’iMessage ne savent pas que l’application propose de contrôler la durée d’affichage de chaque photo, vidéo ou message avant sa disparition. Vous pouvez aussi choisir le nombre de fois que le destinataire peut voir le message. Cette fonctionnalité n’est cependant disponible que sur les versions iOS 10 et ultérieures. 

• Suppression des messages sur les serveurs 
  Vos messages chiffrés ne restent sur les serveurs d’Apple que pendant 7 jours. Ils sont ensuite supprimés. 

Risques de sécurité d’iMessage 

• Faiblesses de chiffrement 
  En 2016, des chercheurs de l’Université Johns Hopkins ont dévoilé une faille dans le chiffrement d’Apple pouvant permettre le décodage des iMessages. En 2019, des chercheurs du Project Zero ont présenté six exploits de haut niveau permettant d’utiliser les iMessages pour prendre le contrôle d’un appareil. Tous ces problèmes ont rapidement été corrigés, mais cela implique d’autres potentielles failles de sécurité dans le code.

• Sauvegardes sur iCloud
  Si vous sauvegardez vos iMessages sur iCloud, ils seront chiffrés sur iCloud à l’aide d’une clé contrôlée par l’entreprise, et non par vous. Cela signifie que, si votre iCloud est piraté ou cité à comparaître, vos messages pourraient être révélés. Apple s’est fermement engagée à ne pas créer de « portes dérobées » (backdoors) dans son système ou affaiblir son chiffrement, mais elle coopère (tout comme d’autres entreprises technologiques) depuis longtemps avec les autorités pour remettre des informations stockées sur le cloud.

7. Facebook Messenger

L’application de messagerie de Facebook est disponible sur iPhone et Android. Sa popularité en fait un moyen pratique pour rester en contact avec ses amis et sa famille. 

Fonctionnalités de sécurité de Facebook Messenger

• Chiffrement de bout en bout
  En 2016, Facebook a ajouté la fonctionnalité « Conversations secrètes » pour sécuriser les messages avec le protocole de chiffrement de bout en bout de Signal (également utilisé par WhatsApp). Le chiffrement bout en bout de Signal et de WhatsApp est cependant activé par défaut, alors que les Conversations secrètes doivent être activées. 

• Autodestruction des messages
  Vous pouvez configurer l’autodestruction des messages Facebook Messenger après un certain temps (entre cinq secondes et 24 heures). 

Risques de sécurité de Facebook Messenger 

• Le chiffrement de bout en bout n’est pas configuré par défaut
  Comme indiqué plus haut, le chiffrement de bout en bout des messages doit être activé par l’utilisateur. Cela signifie que les messages envoyés autrement ne sont chiffrés qu’à leur envoi au serveur de Facebook, puis chiffrés à nouveau à leur envoi au destinataire (alors que l’aspect de bout en bout se situe directement entre l’expéditeur et le destinataire). Une copie du message reste donc sur les serveurs de Facebook. 

• Problèmes de confidentialité
  Depuis le scandale Facebook/Cambridge Analytica, les préoccupations relatives à la collecte de données de Facebook n’ont fait que s’intensifier, si bien que beaucoup d’utilisateurs se demandent comment protéger leurs données personnelles sur Facebook. Pire encore, les médias ont révélé en 2018 que Facebook collectait des informations sur les appels et messages de ses utilisateurs Android (en utilisant la permission d’importer les contacts du téléphone). Et ils ont récidivé l’année suivante. Il y a de nombreuses raisons de douter de la sécurité et de la confidentialité de Facebook Messenger.

Applications à éviter : Google Hangouts

L’application est disponible gratuitement sur iOS et Android, mais elle est confrontée à des problèmes de confidentialité et de sécurité. Même si elle chiffre les conversations Hangouts, elle n’utilise pas de chiffrement bout en bout. Les messages sont chiffrés « en transit ». Cela signifie qu’ils ne sont chiffrés qu’entre votre appareil et les serveurs de Google. Une fois les données stockées sur un serveur, Google y a pleinement accès. Si on le lui demande, Google peut accéder à des sessions de communication privées et transmettre ces informations aux agences gouvernementales. Le problème est devenu bien réel depuis que le rapport de Transparence de Google a révélé que la société recevait et répondait effectivement souvent à des demandes d’informations sur ses clients.

De plus, les images envoyées via Hangouts sont partagées via des URL publiques, ce qui signifie qu’avec quelques connaissances en URL, n’importe qui peut voir vos images privées. Vous ne devriez clairement pas utiliser cette application pour envoyer des photos...intimes.

Comment se protéger ?

Pour nous, la confidentialité est un droit et que tout le monde devrait pouvoir communiquer avec sa famille ou ses amis sans se soucier des regards indiscrets. Dans un monde idéal, tout le monde utiliserait des applications de messagerie ultra-sécurisées comme Signal ou Wickr. Mais, avec la popularité d’applications moins sécurisées (voire douteuses) comme Facebook Messenger ou WhatsApp, le juste milieu est parfois plus pratique. Si vous tenez quand même à les utiliser, combinez-les avec un VPN (réseau privé virtuel). C’est un logiciel qui chiffre tout ce que vous faites en ligne, notamment vos messages, mais aussi vos transactions bancaires et achats. Nos applications VPN AVG Secure pour iOS et VPN AVG Secure pour Android peuvent protéger vos données sur tous vos appareils.

Essayer gratuitement le VPN AVG Secure pour Android