Les meilleures messageries chiffrées de bout-en-bout

Le rôle du chiffrement de bout en bout

Lorsque des personnes s'envoient des messages, elles veulent qu'ils ne soient lus que par les personnes impliquées dans l'échange. Toutefois, comme ces messages sont envoyés par l'intermédiaire d'applications tierces et stockés sur des serveurs tiers, il est possible que le contenu d'un message soit sauvegardé à l'extérieur et donc accessible en dehors de l'échange initial. En cas de violation de ces serveurs, les informations privées sont en danger.

Certaines applications proposent un chiffrement de bout en bout (E2EE, pour End-to-End Encryption) afin de remédier à ce problème. Le chiffrement de bout en bout utilise une clé cryptographique qui n'est disponible qu'aux extrémités de la transmission. Cette clé est utilisée pour chiffrer le message avant qu'il ne soit envoyé dans un format illisible ; seul l'appareil du destinataire partage la clé et peut le déchiffrer. Il est impossible d'accéder au contenu chiffré ou de le modifier en cours de route vers sa destination ou une fois reçu, de sorte que le contenu ne sera pas capturé même si le message est sauvegardé sur un serveur tiers.

Le chiffrement de bout en bout offre une méthode de communication plus privée et plus sûre, en empêchant les tiers indésirables de consulter les informations. Cependant, il ne couvre pas toutes les données partagées pendant la messagerie ; les métadonnées peuvent encore révéler des informations privées, telles que la date et le lieu d'envoi d'un message. En outre, les fournisseurs peuvent ne pas être transparents sur le moment ou la manière dont ils appliquent le chiffrement, par exemple s'il est activé par défaut ou s'ils stockent des sauvegardes non chiffrées sur leurs serveurs.

Autres considérations importantes

Le chiffrement est un bon début, mais de nombreuses applications de messagerie soucieuses de la sécurité introduisent des couches supplémentaires de protection pour leurs clients. Les messages sont vulnérables à une exposition non autorisée, c'est pourquoi les applications les plus sûres s'attaquent à ces problèmes à la source. Voici les éléments de sécurité à prendre en compte lors du choix d'une application :

• Des informations personnelles sont-elles nécessaires pour s'inscrire à l'application ? Pour créer un compte sur une plateforme de messagerie, certaines applications demandent des informations personnelles telles qu'un numéro de téléphone ou une adresse électronique. Ces informations pourraient permettre d'identifier l'auteur des messages si un tiers accédait à ces derniers. Les applications les plus sûres ne demandent pas d'informations personnelles pour s'inscrire.
• Où le tiers stocke-t-il les données ? Même si les messages sont chiffrés, leurs données et autres informations de compte doivent être stockées quelque part. Les serveurs des entreprises privées sont vulnérables aux cyberattaques car ils contiennent beaucoup d'informations personnelles en un seul endroit. Il est plus sûr qu'une application stocke les données sur des serveurs décentralisés sans point d'accès unique.
• Le code de chiffrement de l'application est-il open source ou propriétaire ? Le code propriétaire n'est pas mauvais en soi, mais la nature du code développé et détenu par le secteur privé signifie que les protocoles de chiffrement ne peuvent pas être vérifiés par des acteurs extérieurs. Les utilisateurs doivent donc être convaincus que l'entreprise fait ce qu'elle dit. Lorsqu'une application de messagerie utilise un code source ouvert, tout le monde peut examiner et vérifier ses normes de chiffrement avec plus de confiance puisqu'il est partagé publiquement.
• Quelle est l'origine géographique de l'entreprise ? La plupart des applications sont désormais disponibles dans le monde entier, mais la localisation du siège social de l'entreprise détermine la juridiction dont elle relève et, par conséquent, les lois de surveillance applicables. Les utilisateurs devront se conformer à ces lois de surveillance, et non à celles de leur lieu de résidence ; il est donc utile de le savoir à l'avance.

Les meilleures applications de messagerie chiffrées

Les utilisateurs peuvent se contenter d'utiliser le programme par défaut de leur appareil pour envoyer des SMS au quotidien. Toutefois, toute personne souhaitant améliorer la sécurité de ses communications devrait évaluer les applications en fonction des critères énumérés ci-dessus. Sur la base de ces considérations, les applications suivantes offrent davantage de services de messagerie privée que la plupart de leurs concurrents.

Matrix

Matrix est un protocole ouvert et décentralisé de communications sécurisées. Son évolution est pilotée par la fondation Matrix.org. Cette dernière héberge et maintient son propre serveur Matrix – on parle de homeserver– mais des hébergeurs en proposent eux-mêmes, à commencer par Element.io qui édite en outre un client dédié multi-plateformes. Element développe également un serveur open source. Baptisé Synapse, il est également proposé à l’abonnement en édition entreprise avec une console d’administration complète – Element Server Suite.

La nature ouverte de Matrix est au cœur du développement de ponts permettant l’intégration avant un large éventail d’autres systèmes de messagerie comme WhatsApp et Signal, mais aussi XMPP, les SMS ou encore des messagerie intégrées à des réseaux sociaux comme X (ex-Twitter) et LinkedIn, entre autres.

Matrix a notamment été utilisé par les membres du groupe de cybercriminels Black Basta. Mais pas uniquement : en France, la DINUM a misé dessus pour développer la messagerie sécurisée des agents de l’État, Tchap.

Olvid

La jeune pousse française a fait du chemin depuis ses débuts, qui lui avaient notamment valu d’être distinguée en ouverture de l’édition 2020 du FIC. Ses spécifications techniques lui ont en outre valu des louanges répétées, ainsi que deux certifications de sécurité de premier niveau (CSPN). Les applications Android et iOS supportent l’audio et la vidéo en plus du texte et le déploiement peut être automatisé en entreprise en s’appuyant sur l’annuaire existant et une distribution via MDM. Une console d’administration facilite la gestion des licences et permet de révoquer les clés et canaux sécurisés d’un utilisateur en cas de perte ou de vol de terminal. Olvid est facturé à partir de 9,90 € HT par utilisateur et par mois pour les déploiements en entreprise. 

L’application peut être utilisée à titre individuel gratuitement, mais un abonnement à 5 € par mois est nécessaire, dans ce cadre, pour accéder aux appels sécurisés et à l’utilisation sur plusieurs terminaux en parallèle – par exemple pour profiter de la messagerie sur son ordinateur en plus de son smartphone.

Session

Session est un service de messagerie sécurisée qui ne requiert aucune information personnelle identifiable lors de l'enregistrement d'un compte. Il utilise un code source ouvert et dispose d'un chiffrement de bout en bout comme paramètre par défaut, de sorte que les utilisateurs peuvent envoyer des messages privés en toute tranquillité d'esprit. Toutes les données sont stockées de manière décentralisée afin de réduire la vulnérabilité en cas d'atteinte à la protection des données. Session va un peu plus loin que d'autres applications sécurisées en minimisant activement les métadonnées qu'elle collecte et en utilisant un réseau de routage en oignon pour supprimer les empreintes numériques des utilisateurs ; le routage en oignon fait référence à l'utilisation de plusieurs couches de chiffrement pour plus de confidentialité. Il prend également en charge le partage de fichiers et les conversations de groupe, tout en désactivant les captures d'écran par défaut.

Session peut être utilisé sur Android, iOS, Linux, macOS et Windows, mais pas via un navigateur Web. 

Signal

Peut-être l'application la plus connue de cette liste, Signal est devenue populaire pour sa garantie de l'E2EE et sa gamme complète de fonctionnalités. Les utilisateurs peuvent envoyer des messages, appeler et faire des appels vidéo dans des contextes individuels ou de groupe, ce qui en fait une solution de remplacement facile pour les autres applications de messagerie. Il est également possible d'utiliser la fonction d'autodestruction des messages, qui supprime automatiquement les textes après un certain temps, également connue sous le nom de messagerie éphémère. Signal est une entreprise à but non lucratif qui s'est engagée publiquement à ne jamais vendre, louer ou monétiser les données ou le contenu de ses utilisateurs de quelque manière que ce soit. Toutes les données sont stockées localement sur les appareils des utilisateurs, et le code est open source et vérifié en externe.

Bien qu'il n'y ait pas d'interface web, Signal peut être téléchargé et utilisé sur Android, iOS, Linux, macOS et Windows. Le principal inconvénient est que Signal nécessite un numéro de téléphone pour enregistrer un compte, de sorte qu'il n'est pas entièrement anonyme.

Threema

Plébiscité par les particuliers et les organisations, Threema a son siège en Suisse, un pays favorable à la sécurisation des messageries et des services en ligne en raison de ses lois strictes en matière de protection de la vie privée et des données. Il n'exige aucune information personnelle pour l'inscription et utilise un code source ouvert pour sa conception. Le chiffrement de bout en bout est activé par défaut et un minimum de métadonnées est généré et collecté. Toutes les données sont stockées localement sur les appareils des utilisateurs ; Threema supprime chaque message de ses serveurs dès qu'il arrive à son destinataire. L'application prend en charge les textes, les appels audio, les groupes et les listes de distribution. Threema propose plusieurs solutions professionnelles pour une utilisation complète en entreprise.

Threema est disponible en téléchargement sur Android, iOS, Linux, macOS et Windows et peut être utilisé via un client web. La principale critique est qu'elle n'est pas gratuite.

Wickr

Cette messagerie sécurisée est née en 2011. Initialement gratuite et prisée des personnes soucieuses de la confidentialité de leurs communications, l’application a pris le virage des entreprises, tout en s’ouvrant à d’autres appareils que les seuls terminaux mobiles. 

Amazon Web Services l’a rachetée en juin 2021 qui propose une édition dédiée aux administrations publiques américaines. AWS Wikr peut être exécuter dans la région Europe et est facturé à partir de 5 $ par utilisateur et par mois pour la version standard, contre 15 $ pour la version premium. Cette dernière apporte notamment des contrôles administratifs étendus, la rétention des données, et relève à 5 Go la taille des fichiers partagés. AWS propose également une édition entreprise, à déployer sur l’infrastructure de son choix.

Wire

Basée en Suisse, Wire est une autre application de messagerie dont le paramètre par défaut est E2EE. En plus de l'E2EE, Wire déploie le protocole SRTP (Secure Real-Time Transport Protocol) avec DTLS (Datagram Transport Layer Security) pour le chiffrement des appels de bout en bout. Cet outil est souvent utilisé dans des contextes de collaboration et d'entreprise, car il prend en charge le partage de fichiers et les conversations de groupe dans les formats texte, audio et vidéo.

Wire ne collecte ni ne stocke aucune donnée utilisateur superflue et ne vend aucune donnée à des tiers. Parmi les utilisateurs actuels, on compte des dizaines de milliers d'employés du gouvernement allemand. Le code source de Wire est entièrement ouvert et disponible pour vérification publique sur GitHub.

Wire est accessible sur Android, iOS, Linux, macOS et Windows et par le biais d'un navigateur. La principale critique en matière de sécurité est que Wire stocke et enregistre plus de métadonnées utilisateur que d'autres applications, ce qui pourrait constituer une vulnérabilité en cas de violation de données. L'inscription nécessite également un compte de messagerie.