Messageries

Voici les messageries que nous recommandons à la place des emails, des SMS, de WhatsApp, Facebook Messenger, Telegram, Zoom, Snapchat, Discord, et Slack.

Nos critères : open-source et chiffrement de bout-en-bout.

L’open-source, c’est la mise à disposition publique du code source d’un logiciel. Tout le monde peut voir si le logiciel tient ses promesses en termes de sécurité, et signaler une faille qui aurait été trouvée pour la corriger. Ce modèle offre plus de sécurité qu’un logiciel au code source non-publié (closed source).

Le chiffrement de bout en bout offre le niveau de sécurité le plus élevé pour les données : lorsque des messages sont chiffrés de bout en bout, ça signifie que seuls l’expéditeur et le destinataire peuvent lire les messages qu’ils s’échangent. Les serveurs par lesquels les messages passent ne verront que du code illisible passer : les applications ne pourront pas lire vos messages. Sans chiffrement de bout-en-bout, le serveur va lire tout ce que vous écrivez et va l’analyser à des fins de flicage publicitaire et d’espionnage. Partez de ce principe : si un serveur voit passer quelque chose en clair, il l’enregistrera quelque part et l’exploitera forcément. C’est comme ça qu’Internet fonctionne, ne croyez aucune promesse et prenez les devants. Il n’y a qu’une seule manière d’être tranquille : en utilisant du chiffrement de bout-en-bout.

Si vous considérez que vous n’avez rien à cacher, pas de problème : envoyez-nous les identifiants et mots de passe de votre adresse email / compte Facebook sur notre page contact. Et ne fermez surtout pas votre voiture ni votre porte d’entrée à clef la nuit. Si vous ne souhaitez pas envoyer vos infos à Forteresse qui est un inconnu potentiellement bienveillant, pourquoi acceptez-vous de les envoyer à Facebook, un ordinateur surpuissant totalement malveillant qui analyse activement votre data ?

Attention : le chiffrement de bout-en-bout protège le contenu des messages et des appels, mais pas les métadonnées !

Les métadonnées, ce sont les « données sur la donnée ». Donc les données sur vos messages et appels. Qui envoie un message ? Quand ? À qui ? Combien de messages ? Qui vous a écrit ? À quelle heure ? Combien de temps a duré votre appel ? Rien qu’avec les métadonnées, même si le contenu est chiffré de bout-en-bout, on peut deviner ce que vous avez dit. Exemple : si vous travaillez dans une grande entreprise, que vous appelez pour la première fois un journaliste pendant une heure et qu’un long article critiquant votre entreprise sort dans la presse le lendemain, il est très simple de deviner ce que vous avez dit durant l’appel même s’il est chiffré de bout-en-bout. Cet exemple ne vaut que pour un seul appel. Imaginez si l’on analyse toutes vos métadonnées !

Messageries open-source et chiffrées :

Signal

Signal est l’application de messagerie chiffrée de bout en bout open-source la plus populaire au monde : elle fait le job et utilise le moins de métadonnées possibles. Toutefois, il est nécessaire de s’enregistrer via son numéro de téléphone pour utiliser Signal.

Signal est l’application la plus facile à utiliser lorsqu’il s’agit de remplacer WhatsApp ou Facebook Messenger : on vous la recommande en priorité, c’est l’application de messagerie sécurisée la plus populaire, vous avez certainement des contacts qui utilisent Signal au quotidien. L’application prend en charge l’envoi des GIFs, des photos et des fichiers, les discussions de groupe, les appels vocaux et vidéo de groupe, la disparition programmée des messages éphémères et la possibilité de bloquer les captures d’écran. Oui, vous pouvez même envoyer des photos éphémères en mode « Snapchat » ! Avant d’envoyer une photo, il suffit d’appuyer sur le signe infini ∞ pour faire basculer l’envoi en « une fois ».

Pour protéger le contenu des messages, Signal utilise le protocole open-source Signal, qui est recommandé par de nombreux experts en matière de confidentialité et de sécurité tels que Edward Snowden et Bruce Schneier. Sachez que WhatsApp utilise la technologie de Signal pour sécuriser ses messages : alors pourquoi ne pas utiliser la version originale qui ne vous fliquera pas ? (Voir en bas de page).

Signal n’a pas pour but de faire du profit, et existe grâce aux dons.

Astuce : Signal est disponible sur ordinateur, en complément de votre smartphone.

Si possible, vérifiez votre numéro de sécurité avec votre correspondant pour vérifier que le chiffrement de bout-en-bout de Signal fonctionne parfaitement.

Threema

Threema est une messagerie open-source, située en Suisse. Cette application est très populaire en Suisse, en Allemagne et en Autriche. Les messages et les appels sont chiffrés de bout en bout. Vous pouvez vous inscrire de manière anonyme sans numéro de téléphone ni adresse électronique. Cette messagerie est centralisée : elle utilise uniquement des serveurs suisses gérés exclusivement par Threema, qui ne gardent aucune métadonnée.

Contrairement aux autres messageries proposées sur cette page, Threema est une messagerie payante (paiement unique de quelques euros). Puisqu’elle ne peut pas exploiter vos données personnelles via son application, l’entreprise Threema gagne de l’argent en la vendant : c’est son business model, et il est honnête. Cette application est de qualité, vous ne regretterez pas son achat ! Pour le simple prix d’un café, vous protégerez votre vie privée et celle de vos proches pendant des années. Threema est utilisée par l’armée suisse, qui a banni l’utilisation de WhatsApp. Une version entreprise Threema Work existe, utilisée par de très grandes entreprises (Mercedes, Bosch, la compagnie aérienne Emirates).

Astuce : Vous pouvez refuser de relier votre numéro de téléphone et votre email à la création de votre ID Threema pour être anonyme. Si possible, vérifiez le QR Code de votre correspondant quand vous êtes à sa proximité pour avoir une vérification « niveau 3 » et garantir que le chiffrement de bout-en-bout fonctionne parfaitement.

Session

mobile app ui showcase

Session a repris le code de Signal, pour l’améliorer en supprimant toutes les métadonnées possibles. Le crédo de Session, c’est la sécurité de Signal avec en bonus l’anonymat et la décentralisation.

Le protocole de chiffrement de bout-en-bout de Signal, qui est la référence, a été modifié par Session pour l’alléger et faciliter le multi-appareils et la décentralisation du serveur. Ainsi, contrairement à Signal qui utilise un serveur unique centralisé, Session utilise plus de 1800 serveurs décentralisés et utilise un système de routage en onion inspiré de Tor (mais qui n’est pas Tor) pour protéger votre identité : aucun serveur ne peut voir à la fois qui vous êtes, et à qui vous envoyez vos messages. Vos métadonnées sont entièrement protégées.

Contrairement à Signal qui nécessite un numéro de téléphone pour s’inscrire, sur Session vous pouvez vous inscrire et créer une « ID Session » anonymement. De plus, Session ne peut jamais tomber en panne contrairement à WhatsApp, puisqu’il y aura toujours un serveur parmi les milliers disponibles qui prendra le relai. Les appels directs sont déjà disponibles, et les appels routés en onion arrivent bientôt.

Session est la seule messagerie qui fait passer vos messages par plusieurs relais aléatoires.

Cette messagerie est conseillée pour les personnes qui veulent une vie privée absolue, et être libérées de toute forme de surveillance. Session est la messagerie que nous conseillons qui protège le plus les métadonnées : elle est par exemple très utile pour les journalistes qui ont besoin de protéger leurs sources.

Astuce : Vous pouvez partager le QR Code de votre ID Session pour être ajouté facilement par scan, une ID Session étant longue à écrire sans copier-coller. Aussi, une ID Session peut rapidement être supprimée en deux clics en cas de besoin pour en recréer une autre.

Comme Signal, Session dispose d’un logiciel très pratique sur ordinateur. Toutefois, celui de Session est autonome et n’a pas besoin d’être relié à un profil créé sur smartphone pour fonctionner. Vous pouvez aussi utiliser la même ID Session sur plusieurs appareils en simultané.

desktop app screenshot

Olvid

Olvid est une application française, chiffrée de bout-en-bout et open source. Olvid protège très efficacement les métadonnées. Vous pouvez vous inscrire de manière anonyme sans numéro de téléphone ni adresse électronique : l’application n’a besoin d’aucune donnée personnelle pour être utilisée.

Son business model : entièrement gratuite pour les particuliers (hormis les appels vocaux), et payante pour les professionnels. L’équipe est accessible et hyper réactive. On adore, vraiment. Cette application est par exemple utilisée par le RAID (unité d’élite de la police française) et par les avocats.

Element (Matrix)

Le protocole de chiffrement de bout-en-bout Matrix est basé sur le protocole Signal. L’application Element est l’application la plus connue et la plus pratique pour échanger via Matrix. Ce protocole permet à plusieurs serveurs différents de communiquer entre eux : c’est décentralisé. Element est le logiciel principal pour utiliser Matrix, mais vous êtes libres d’utiliser un autre logiciel et un autre serveur que celui de base. Par exemple, l’État français utilise Tchap, une version modifiée de Element sur un serveur Matrix contrôlé par l’Etat. L’État maîtrise donc en interne les métadonnées des échanges de ses agents.

Rocket Chat

L’alternative parfaite à Slack (qui n’est pas chiffré de bout en bout) pour les entreprises. Similaire visuellement à Element ou Slack, c’est un chat d’équipe professionnel entièrement open-source et chiffré de bout-en-bout.

Wire

File Sharing

Wire est une messagerie open-source et chiffrée de bout-en-bout Suisso-Américaine, plutôt orientée entreprise. Il est toutefois possible de l’utiliser gratuitement pour un usage personnel. Son protocole de chiffrement de bout-en-bout est inspiré de celui de Signal. Wire conserve quelques métadonnées à un niveau acceptable. L’interface originale et très moderne de Wire est très agréable à utiliser, mais ce logiciel n’est pas notre premier choix en raison des alternatives existantes.

Les messageries chiffrées qui ne sont pas open-source :

Treebal

Téléphones avec l'application Treebal

Treebal est une messagerie française basée en Bretagne, axée sur l’écologie et le respect de vos données. Treebal est chiffrée de bout-en-bout via le protocole Matrix, et n’est pas pour le moment open-source. Treebal est gratuite pour le grand public, et payante pour les professionnels. La moitié des revenus générés est investie dans des projets de reforestation. L’équipe est très accessible, on apprécie !

iMessage et Facetime (iOS)

iMessage et FaceTime, fournis de base sur les appareils Apple, sont chiffrés de bout-en-bout mais pas open-source, ce qui est un mauvais point (on ne peut pas vérifier si iMessage protège vraiment vos messages). Il est conseillé d’utiliser au minimum FaceTime audio au lieu des appels GSM normaux en 06 ou 07 pour en protéger le contenu audio.

Apple ne protège pas vos métadonnées et les voit entièrement pendant 30 jours, ce qui est un très mauvais point. Toutefois, à la différence de Facebook (WhatsApp), Apple n’exploite pas a priori vos métadonnées à des fins de ciblage publicitaire même si rien ne vous le garantit.

Attention : si l’option « Sauvegarde iCloud » est activée sur votre appareil, une copie de la clé protégeant vos messages sera incluse dans votre sauvegarde. Apple pourra donc lire vos messages, et utiliser iMessage perd tout intérêt en matière de vie privée. Il est donc conseillé de ne sauvegarder votre iPhone que par une sauvegarde chiffrée sur iTunes en filaire sur un ordinateur. Et malgré ça, même si vous faites attention, il suffit que votre correspondant fasse une sauvegarde iCloud de son côté pour que vos messages finissent en clair chez Apple.

Pour résumer ? iMessage, ça s’utilise, c’est mieux que rien, mais il faut avoir à l’esprit les limites de cette messagerie. Oui, c’est sympa et pratique à utiliser, mais attention aux sauvegardes iCloud. De plus, iMessage n’existe pas sur Android. On préfère de loin Signal, qui permet aux utilisateurs d’iPhone de discuter en toute sécurité avec les smartphones Android.

Citadel Team

Citadel Disponible sur tous vos appareils

Citadel Team est une messagerie développée par Thales, chiffrée de bout-en-bout et basée sur Matrix. Elle est orientée pour un usage professionnel en entreprise. Elle n’est pas à notre connaissance open-source.

L’utilisation d’une des applications énumérées ci-dessus constituera une étape importante dans le renforcement de votre vie privée. N’hésitez pas à encourager vos amis, votre famille et votre entreprise à les utiliser !

Pourquoi fuir WhatApp ?

WhatsApp est détenue par Facebook, une des pire entreprises au monde en terme de vie privée. WhatsApp est closed source : l’appli dit chiffrer les messages de bout-en-bout via le protocole Signal, mais on ne peut pas le vérifier, et l’appli peut comporter des « portes dérobées » (backdoor) pour vous espionner dans votre dos. WhatsApp sauvegarde vos messages en clair sur le cloud, ce qui enlève toute sécurité au chiffrement de-bout-en-bout. Surtout, WhatsApp exploite vos métadonnées à fond ! Le but de cette application diabolique est de connaître votre répertoire de contacts, savoir qui vous êtes, à qui vous parlez, quand, combien de fois. Tout cela est envoyé à Facebook dans le but de vous espionner, et c’est très flippant. Par exemple, même si vous n’avez jamais utilisé WhatsApp, l’appli sait qui est votre frère ou bien votre mère, simplement en voyant comment vos proches vous ont appelé dans leur répertoire de contacts auquel l’application a accès. En 2021, WhatsApp a forcé ses utilisateurs à accepter des nouvelles conditions d’utilisation l’autorisant à automatiser le partage de données personnelles (numéro de téléphone, nom, adresse IP…) et métadonnées de WhatsApp vers Facebook.

La meilleure alternative à WhatsApp, c’est Signal ! Signal est open-source, n’exploite pas vos métadonnées, et utilise le protocole Signal nativement (puisque c’est l’appli d’origine qui utilise ce protocole de chiffrement de bout-en-bout repris par WhatsApp et la plupart des autres applications).

Pourquoi fuir Telegram ?

Le bon point de Telegram, c’est son interface. Mais contrairement à la croyance populaire, Telegram n’est pas ce qui se fait de mieux en matière de sécurité et de vie privée. Ce n’est pas open-source. C’est relié à votre numéro de téléphone. Telegram a accès à toutes vos métadonnées. Et surtout, tous vos messages par défaut sont stockés en clair dans le cloud, car il n’y a de base aucun chiffrement de bout-en-bout ! Il existe un mode « chat secret » avec chiffrement de bout-en-bout, mais le protocole de chiffrement n’inspire pas confiance aux experts.

Telegram, c’est une sorte de Facebook Messenger exploité par quelqu’un d’autre que Facebook. D’ailleurs, la publicité arrive dans Telegram.