Blog

Les meilleures applications de messagerie cryptée (et leurs limites) en 2022

Meilleures applications de messagerie cryptée



Vous voulez savoir quelle est la meilleure application de messagerie cryptée ? Malheureusement, ce n’est pas si simple, car les applications idéales dans certaines circonstances il faut souvent faire des compromis cela les rend moins pratiques chez d’autres.

Cela signifie que la meilleure application dépendra de la situation. Vous aurez donc toujours besoin de plusieurs options différentes qui vous offrent le bon mélange de fonctionnalités. praticité et niveaux de sécurité appropriés pour une conversation donnée.



Pour commencer, passons en revue les raisons pour lesquelles vous devriez utiliser une application de messagerie cryptée, ainsi que les fonctionnalités d’une hypothétique application parfaite. Nous pourrons ensuite étudier les principales applications proposées, ainsi que le moment où les utiliser.

Pour finir, nous aborderons les limites de ces applications et les situations dans lesquelles même la meilleure protection ne peut pas sauvegarder vos données.



Pourquoi utiliser des applications de messagerie cryptées ?

Ces dernières années, les applications de messagerie sont devenues des guichets uniques où nous pouvons effectuer l’essentiel de nos communications. La plupart d’entre nous ont notre téléphone sur nous la plupart du temps, ces applications nous permettent donc de communiquer quand nous le souhaitons. Cela a rendu les applications de messagerie beaucoup plus pratiques que d'autres canaux de communication tels que les appels fixes et la messagerie sur ordinateur.

Pour la plupart, ces applications sont gratuites, ce qui constitue un autre avantage par rapport à des éléments tels que les appels téléphoniques et la messagerie SMS. La majorité des applications offrent également différentes manières de contacter les autres. Vous pouvez envoyer des messages texte, des messages vocaux, passer des appels vocaux ou vidéo, envoyer des photos et même partager des fichiers.

En plus de cela, un certain nombre d'applications de messagerie proposentchiffrement de bout en bout, ce qui signifie essentiellement que les données ne sont pas accessibles lors de leur trajet entre votre téléphone et celui de votre destinataire. Cela permet d’empêcher les pirates informatiques d’écouter vos conversations et de voler des données, et cela empêche également le gouvernement de fouiner.

Ces aspects rendent les applications de messagerie cryptées plus sécurisées que les appels téléphoniques, les messages texte, les courriers électroniques standard et même le modeste bureau de poste. Lorsque vous additionnez toutes ces fonctionnalités, il existe de nombreuses raisons de profiter des applications de messagerie cryptées. Mais tous ne sont pas égaux et leurs développeurs ne prennent pas toujours votre sécurité au sérieux.

L'application de messagerie cryptée parfaite

Si nous pouvions créer une application de rêve, elle combinerait une variété de fonctionnalités différentes, mais malheureusement, la réalité nous gêne et nous oblige à faire des compromis. Néanmoins, l’application parfaite serait :

Capable de communiquer avec tout le monde

Idéalement, nous voudrions une seule application que nous pourrions utiliser pour contacter tout le monde. Dans l’état actuel des choses, nous éprouvons la gêne de basculer entre différentes applications, SMS, e-mails et appels lorsque nous communiquons avec nos amis, notre famille et nos collègues.

Ce serait plus efficace si nous pouvions tout faire au même endroit. Théoriquement, cela pourrait être réalisé de deux manières. La première est que tout le monde possède et utilise une application de messagerie universelle. L’alternative serait qu’une seule application puisse envoyer des messages à toutes les autres applications.

À l'heure actuelle,toutes nos applications de messagerie cryptées populaires ne peuvent être utilisées que pour parler à d'autres personnes utilisant la même plateforme. Vous ne pouvez pas envoyer de message WhatsApp au compte iMessage de quelqu'un, vous ne pouvez l'envoyer qu'à d'autres utilisateurs de WhatsApp (même si Facebook le sera bientôt). intégrer ses applications afin que les gens puissent envoyer des messages entre WhatsApp, Facebook Messenger et Instagram).

Faire en sorte que tout le monde utilise la même application n’est peut-être pas pratique en raison de nos différents besoins. L’autre option consiste à ce qu’une gamme d’applications différentes utilisent le même protocole, permettant ainsi l’interopérabilité. À titre d'exemple, si vous êtes un utilisateur de Gmail, vous n'êtes pas limité à envoyer uniquement des e-mails à d'autres comptes Gmail. Vous pouvez envoyer un e-mail à n'importe qui. Tout comme les utilisateurs d’Outlook et tout le monde.

Des systèmes similaires sont possibles pour les applications de messagerie, il suffit que plusieurs plates-formes utilisent le même protocole sous-jacent. Cela existe déjà, avec des applications comme ChatSecure et Conversations utilisant chacune le protocole XMPP, permettant aux utilisateurs d'envoyer et de recevoir des messages de différentes applications utilisant le même protocole.

Cette approche n’est pas parfaite et de nombreux développeurs l’ont rejetée pour des raisons à la fois commerciales et techniques. Il est dans l’intérêt de Facebook et d’autres sociétés de vous garder enfermé dans leurs services de messagerie. D'un point de vue plus pratique, l'utilisation d'un protocole ouvert limite ce que les développeurs peuvent réaliser et rend plus difficile l'ajout de nouvelles fonctionnalités à des fins de sécurité ou de fonctionnalité.

Complet et facile à utiliser

Si nous voulons que tout le monde utilise la même application, celle-ci devra alors inclure toutes les fonctionnalités que les utilisateurs pourraient souhaiter. S’il ne propose pas d’éléments tels que le chat vidéo, les emojis ou les GIF, certains utilisateurs se dirigeront vers d’autres services proposant ces options.

En plus de ses fonctionnalités, une application idéale serait simple et pratique. Cela synchroniserait automatiquement nos contacts, faciliterait la recherche de nouvelles personnes et offrirait une communication rapide et facile. Malheureusement, plusieurs mécanismes de commodité différents entrent en conflit avec certaines des mesures de confidentialité et de sécurité dont nous parlerons ci-dessous.

Dédié à la sécurité

La sécurité est essentielle dans toute situation où nous envoyons des informations sensibles ou précieuses. Par défaut, Internet est un endroit très peu sécurisé et les attaquants peuvent se cacher à chaque coin de rue. C’est pourquoi il est important que nos applications de messagerie prennent leur sécurité au sérieux.

L'une des fonctionnalités les plus importantes d'une application sécurisée est chiffrement de bout en bout . Lorsque cela est mis en œuvre avec les meilleures pratiques de sécurité, il est pratiquement impossible pour quiconque d’accéder aux données qui transitent entre l’application de votre téléphone et celle de votre destinataire. Cela signifie que ni les criminels ni le gouvernement ne peuvent accéder aux données ou aux messages en transit via le service.

Pour certains utilisateurs, l'application parfaite leur permettrait de rester anonyme . Cela signifie que la plateforme leur permettrait de s'inscrire sans transmettre aucune donnée. Dans l’état actuel des choses, toutes les applications les plus courantes nécessitent une sorte d’identifiant, qu’il s’agisse d’un e-mail ou d’un numéro de téléphone. Dans certains cas, il existe des moyens de contourner cela, mais cela reste un frein.

Les utilisateurs anonymes finiraient par être confrontés à des problèmes pratiques, car les applications ne seraient pas en mesure de leur offrir des fonctionnalités pratiques telles que la synchronisation des contacts sans compromettre leur identité.

Pour des raisons de confidentialité et de sécurité, il est idéal que l'application éviter de stocker les informations des utilisateurs . Les plateformes doivent collecter et traiter certaines métadonnées pour établir et permettre vos communications. Il leur est également possible de supprimer les données par la suite. Certains services traitent et stockent beaucoup plus de métadonnées que leurs concurrents, ce qui constitue un énorme signal d'alarme en matière de confidentialité et de sécurité.

Il est également important que toute application de messagerie sécurisée soit Open source . Cela signifie que le code est accessible au public et peut être consulté par n'importe qui. Plus il y a de personnes qui consultent le code, plus grandes sont les chances que quelqu'un détecte des vulnérabilités ou des actions malveillantes.

Des audits de sécurité externes doivent également être menés, mais ne peuvent pas remplacer les logiciels open source. Les audits sont effectués par un petit groupe de personnes, ce qui augmente la probabilité que l'examen soit compromis. Les résultats ne peuvent pas non plus être rendus publics. Les audits externes n’ont pas le même type de contrôle que celui exercé par le regard collectif d’une communauté s’intéressant au code source.

Une grande variété d'autres fonctionnalités de sécurité qui devraient également être implémentées, telles que secret de transmission parfait . Il s’agit d’un terme cryptographique qui signifie que même si les clés de chiffrement sont compromises à l’avenir, elles ne pourront pas être utilisées pour accéder aux messages passés. D'autres voudront peut-être des fonctionnalités telles que des messages autodestructeurs ou même un mécanisme qui désactive les captures d'écran.

Il peut être idéal d'avoir plusieurs de ces fonctionnalités de sécurité activé par défaut pour protéger les utilisateurs, en leur permettant de désactiver ceux qui gênent leur utilisation. Alternativement, une application idéale pourrait avoir des modes strict, standard et léger qui permettent aux utilisateurs d'adapter facilement la configuration de sécurité à leurs besoins.

Ce ne sont pas seulement les fonctionnalités qui comptent : l’attitude du développeur est également importante. Le développeur de cette application hypothétique devrait être engagé en faveur de la confidentialité, de la sécurité et de la transparence . Ils doivent résister aux intrusions des autorités et refuser de collecter les données des utilisateurs à des fins publicitaires.

Les meilleures applications de messagerie cryptée

Maintenant que nous avons discuté des fonctionnalités idéales d’une application de messagerie sécurisée, nous pouvons commencer à analyser les applications les plus courantes pour leurs attributs positifs et négatifs.

Nous commencerons par couvrir plusieurs applications axées sur la sécurité, puis passerons à celles dotées de réseaux plus larges. Il existe d'innombrables autres applications proposées, chacune avec ses propres fonctionnalités de sécurité intéressantes, ou de grandes bases d'utilisateurs dans certaines régions.

L'objectif principal est d'étudier les applications offrant la meilleure sécurité ainsi que les plus courantes, pour vous donner un aperçu de celles qui sont bonnes à utiliser, ainsi que de celles que vous devez éviter.

1. Signaler

messagerie-chiffrée-3

Icône bleue de signal par Tyler Reinhard sous licence CC0

Commençons par Signal, qui est souvent considéré comme la référence en matière d’applications de messagerie cryptées. Il a beaucoup à offrir en termes de sécurité, même s'il n'est pas parfait, et certaines alternatives peuvent avoir des fonctionnalités individuelles que certains utilisateurs préfèrent.

L’application offre une gamme de fonctionnalités qui la rendent comparable à un service comme WhatsApp. Il contient tout ce qui est important, des SMS aux appels vidéo, en passant par les discussions de groupe et les emojis. Il est également incroyablement simple à utiliser par rapport à d’autres formes de communication sécurisées comme PGP.

Signal se distingue par sa configuration de cryptage, qui a été orchestrée de telle manière que l'entreprise je ne peux pas accéder à vos données ou aux clés qui le sécurisent. Il ne conserve pas non plus vos métadonnées, donc lorsque les autorités assignent à comparaître les dossiers de Signal, il ne peut pas remettre grand-chose.

Cela a été testé au tribunal auparavant, et les seules données que l'entreprise était en mesure de transmettre étaient l'horodatage de la création du compte, ainsi que de la dernière connexion. La conservation d'une quantité de données aussi limitée indique que Signal accorde une grande importance à la sécurité et à la confidentialité de ses utilisateurs.

Vous ne voulez peut-être pas vous ennuyer avec les détails, mais sa sécurité est assurée grâce à une variété d'algorithmes et de mécanismes de sécurité. Ceux-ci incluent XedDSA et VXEdDSA signatures numériques , le triple étendu Protocole d'accord clé Diffie-Hellman , aussi bien que Cliquet double et le Sésame algorithmes.

Toute personne possédant le savoir-faire technique peut vérifier le code de Signal car il est Open source . Cela a également été audité par des chercheurs , qui n’a trouvé « aucun défaut majeur dans sa conception ». Il s’agit d’une critique bien plus élogieuse qu’il n’y paraît dans le monde tatillon de la sécurité.

Dans l’ensemble, le protocole a incroyablement bien résisté à tous ses examens minutieux, c’est pourquoi beaucoup le considèrent comme le solution de messagerie sécurisée la meilleure et la plus pratique .

L'un des principaux reproches que les personnes soucieuses de la sécurité ont avec l'application est qu'elle nécessite un numéro de téléphone pour l'inscription . Ceci est utilisé pour vérifier le compte d’un utilisateur, supprimant ainsi le besoin de noms d’utilisateur et de mots de passe. Cela facilite également la découverte des contacts qui utilisent Signal.

Certaines personnes hésitent à donner leur numéro de téléphone, mais il suffit de créer un compte. Les utilisateurs peuvent également utiliser un numéro VoIP, un téléphone fixe ou un numéro non personnel. Il existe donc des solutions au problème.

Un autre avantage pour Signal est sa structure, son financement et sa vision globale. Elle a été cofondée par Moxie-Marlinspike, un homme énigmatique réputé pour être un marin anarchiste et un crypto-savant. Après des années de squat et d'auto-stop, il a cofondé une entreprise appelée Whisper Systems.

Lors de son rachat par Twitter, il est devenu responsable de la cybersécurité de la plateforme de médias sociaux. Il a fini par quitter l'entreprise pour créer Open Whisper Systems, la société qui développe désormais Signal. Ce faisant, il s'est éloigné de 1 million de dollars en options d'achat d'actions .

L'application est gratuite, sans publicité, et elle ne collecte ni ne vend ses données utilisateur . Il subsiste actuellement grâce à des subventions et des dons provenant de la Freedom of the Press Foundation, de Brian Acton et d'autres.

Bien que ces détails ne fassent pas automatiquement de Signal une organisation digne de confiance, ils la font apparaître comme plus fiable que des alternatives comme Facebook qui s'appuient sur l'exploration de données pour gagner des milliards.

Le plus gros inconvénient de Signal est qu’il est loin d’être aussi populaire que les applications grand public comme WhatsApp ou Facebook Messenger. Il est populaire auprès des journalistes, des militants, des hommes politiques et autres personnes qui traitent des informations sensibles, mais il n’a pas connu le même genre d’adoption à grande échelle que ses plus grands rivaux.

Cela signifie que vous ne pourrez peut-être pas l'utiliser pour envoyer des messages à plusieurs de vos amis, de votre famille ou de vos collègues. Vous pouvez essayer de les encourager à l’adopter, mais ce n’est pas toujours facile à convaincre. Bien qu’il s’agisse de l’une des meilleures options lorsque vous traitez des informations sensibles ou précieuses, vous devrez peut-être recourir à des alternatives moins sécurisées comme WhatsApp ou Facebook Messenger pour parler à certaines personnes.

2. Fil

messagerie-chiffrée-2

Logo de texte de fil par fil sous licence CC0

Wire est moins populaire que Signal, mais il présente quelques différences qui en font une alternative appropriée dans certaines circonstances. Il offre le groupe de base des fonctionnalités attendues, telles que la messagerie, les appels vocaux et vidéo, ainsi que les discussions de groupe. Il comprend également une gamme d'outils de collaboration destinés au marché des entreprises. L'application Wire est également relativement pratique et facile à utiliser .

L'un de ses avantages est qu'il permet aux utilisateurs de inscrivez-vous sans donner de numéro de téléphone. Ils peuvent simplement s’inscrire avec des noms d’utilisateur et des mots de passe. Ses messages sont cryptés avec Proteus, basé sur le protocole Signal. Wire utilise SRTP et DTLS pour les appels vocaux.

Le fil est également open source et a été audité en externe . Les versions antérieures présentaient quelques problèmes de sécurité, bien que ces problèmes aient depuis été résolus. adressé . Dans l’état actuel des choses, l’application est censée offrir un haut niveau de sécurité.

L'un des plus gros inconvénients de Wire est qu'il stocke beaucoup plus de métadonnées que Signal. Ces informations sont conservées sous forme de texte brut et incluent qui a été contacté et quand ce qui est indésirable pour les utilisateurs qui souhaitent garder ces informations cachées. Selon déclarations de Wire , ces informations sont conservées pour faciliter la synchronisation des contacts sur plusieurs appareils.

Il n’existe aucune information publique (au moment de la rédaction) indiquant si la plate-forme a été contrainte par des autorités de transmettre les données des utilisateurs. Nous ne savons donc pas actuellement comment l’application serait équitable de cette manière par rapport à Signal.

À en juger par le fait que Wire collecte davantage de données, il est préférable de supposer que ce serait le cas. obligé de remettre davantage aux autorités , mais nous ne savons pas si l’entreprise est prête ou non à traîner les pieds face aux exigences des forces de l’ordre.

Le projet est basé en Suisse et composé de nombreux anciens employés de Skype. Il a initialement reçu un financement de Iconique et s'est engagé à ne pas utiliser de publicités pour soutenir la plateforme. Il propose actuellement à la fois des forfaits gratuits et des options premium, qui financent vraisemblablement son développement et ses coûts de fonctionnement.

Wire dispose d'un réseau plus petit que Signal, ce qui signifie que les utilisateurs ont encore moins de personnes avec qui communiquer. Malgré cela, c’est une solution pratique pour utilisateurs professionnels , ceux qui veulent un plateforme multi-appareils et pour les utilisateurs qui ne souhaitent pas communiquer leur numéro de téléphone.

3. Osier

Wickr est l'un des anciennes applications axées sur la sécurité , offrant des fonctionnalités telles que la messagerie, les appels vidéo, le partage de photos et la synchronisation entre appareils. Comme chacune des applications évoquées dans cet article, Wickr a ses propres avantages et inconvénients. Cela signifie que ce sera un choix approprié dans certaines situations, mais pas dans d’autres.

Wickr propose trois services différents :

  • Wickr moi – Une application de messagerie personnelle gratuite.
  • Wickr Pro – Une plateforme de collaboration commerciale avec des options gratuites et payantes.
  • Entreprise Wickr – Un outil évolutif et prêt à être conforme visant à répondre aux besoins des entreprises.

Chacun de ces niveaux comprend différentes fonctionnalités qui peuvent légèrement modifier la configuration de la sécurité et de la confidentialité. Cet article portera principalement sur Wickr Me, car il s’agit du service le plus comparable aux autres applications dont nous parlerons.

Le protocole de messagerie Wickr offre un cryptage de bout en bout avec une parfaite confidentialité de transmission et un excellent système de messagerie disparaissante. Sa configuration de sécurité a reçu des critiques favorables de experts en sécurité , et cela a également été salué par le Fondation Frontière Electronique pour sa démarche globale de transparence .

L'application supprime les métadonnées des communications qui transitent par son réseau, ce qui constitue une victoire pour la confidentialité des utilisateurs. Une autre caractéristique importante est qu’il ne nécessite aucun numéro de téléphone ni aucune information d’identification. Cela signifie que il peut être utilisé pour la messagerie anonyme , contrairement à Signal.

Wickr a également une solide histoire en matière de sécurité. Certains bugs ont été trouvés il y a plusieurs années, mais ils ont depuis été patché . Même dans le créneau de la sécurité, un si petit nombre de failles est louable.

L'un des problèmes majeurs de Wickr est que ce n'est pas entièrement open source . Le code du protocole cryptographique de l’application a finalement été publié en 2017, mais son application client et son code côté serveur ne sont toujours pas disponibles.

Selon ZDNet , l’ancien PDG de Wickr était réticent à ouvrir complètement le code en raison de « la propriété intellectuelle exclusive de l’entreprise et d’une structure commerciale à but lucratif ». Wickr a publié le code du protocole de sécurité après un changement de direction, mais refuse toujours de publier le code dans son intégralité.

Beaucoup de gens semblent penser que l’application est entièrement open source. Cette impression s'est peut-être répandue parce que beaucoup articles de presse ne dis pas clairement que seul le protocole de sécurité a été rendu open source, et non le code client ou serveur .

Il s’agit d’une idée fausse et dangereuse car elle amène les gens à croire que le code complet a été ouvertement examiné par la communauté à la recherche de portes dérobées et d’autres vulnérabilités. Ce n’est pas le cas, et bien que l’entreprise semble globalement relativement fiable, nous ne pouvons pas en être sûrs tant que le code n’est pas entièrement open source.

À ce stade, Wickr ne semble montrer aucune intention d’aller dans cette direction, ce qui pourrait indiquer que rendre le code du protocole de sécurité open source était plus un coup de publicité qu’un engagement en faveur de la sécurité.

Les chances que Wickr dispose d'une porte dérobée pour les autorités sont peut-être relativement faibles, mais étant donné que de nombreuses autres applications axées sur la sécurité sont soumises à un examen minutieux dû à l'open source, ces alternatives sont encore moins susceptibles d'en avoir une.

Même si les applications entièrement open source sont généralement préférées par la communauté de la sécurité, il est juste de considérer également l’autre côté. Wickr a fait l'objet d'examens externes de la part d'un certain nombre d'organisations de confiance. . Il s’agit notamment d’Aspect Security, Veracode, NCC Group et de l’AICPA. L'entreprise dispose également d'un programme de prime aux bogues qui offre jusqu'à 100 000 $.

En fin de compte, vous devrez prendre votre propre décision quant à savoir si vous faites confiance à l'entreprise et à ses audits, ou si vous préférez une option que la communauté open source peut examiner.

Du côté positif, Wickr est très transparent sur les données qu'elle collecte, ainsi que sur les conditions dans lesquelles elle peut être contrainte de transmettre des informations personnelles aux autorités.

Wickr stocke les informations suivantes sur ceux qui utilisent son service Me :

  • La date à laquelle un compte a été créé.
  • Le type d'appareils sur lesquels le compte a été utilisé.
  • La date de la dernière utilisation.
  • Le nombre total de messages envoyés et reçus.
  • Le nombre d'identifiants externes (adresses e-mail et numéros de téléphone) connectés au compte, mais pas les identifiants externes en clair eux-mêmes.
  • L'image de l'avatar (si l'utilisateur en a fourni une).
  • Un ensemble limité d'enregistrements concernant les modifications récentes apportées aux paramètres du compte. Celles-ci peuvent indiquer si un appareil a été ajouté ou suspendu, mais n'incluent pas le contenu du message ni les informations de routage et de livraison.
  • Le numéro de version Wickr utilisé.

Ceux qui utilisent le service Pro stockent également les informations suivantes :

  • Leur affiliation au réseau.
  • Leur identifiant Wickr Pro (adresse e-mail).
  • Leur numéro de téléphone, s'il a été fourni par un administrateur réseau comme deuxième facteur d'authentification.

Selon la configuration de Wickr Pro, il peut collecter encore plus de données. La société inclut la clause de non-responsabilité suivante :

Pour Wickr Pro, la configuration de chaque réseau peut varier en fonction des besoins de l'entreprise. Ainsi, les informations que Wickr peut être en mesure de fournir en réponse à une demande légale d'informations sur les utilisateurs varieront également.

Étant donné que Wickr stocke uniquement les données répertoriées ci-dessus, ce sont les seules informations qu’il peut transmettre aux forces de l’ordre, ce qui signifie qu’il ne peut pas divulguer le contenu des messages ou les métadonnées. La politique de confidentialité de l’entreprise indique également qu’elle informera ses utilisateurs si des demandes d’informations sur leur compte ont été reçues, à moins que la loi ne l’empêche de le faire. Dans ce cas, il vise à informer l'utilisateur concerné dès que cela lui est permis.

Wickr publie également des rapports de transparence deux fois par an. Son rapport du 1er juillet couvrait les demandes reçues au cours des six mois précédents, notamment :

  • Cinq mandats de perquisition portant sur huit comptes (une seule commande peut concerner plusieurs comptes).
  • 49 décisions de justice concernant 75 comptes.
  • 40 assignations à comparaître des forces de l'ordre couvrant 59 comptes.
  • Zéro demande de sécurité nationale.
  • 21 autres demandes.
  • Quatre demandes concernant des non-résidents américains.

Comme nous l'avons indiqué ci-dessus, lorsque Wickr reçoit ces demandes, il ne peut transmettre que les informations qu'il stocke, pas le contenu du message ni les métadonnées.

L’équipe principale de Wickr est composée de spécialistes de la cybersécurité et d’experts en matière de confidentialité. Une grande partie de son développement technique initial a été supervisée par l’un des cofondateurs de l’organisation et son ancien CTO, le docteur Robert Statica. Il possède un parcours impressionnant en matière de sécurité de l’information qui, combiné à la direction actuelle de l’entreprise, a permis de garder le projet entre de bonnes mains.

L'organisation a reçu financement initial provenant d'un groupe ou d'organisations diversifiées, notamment la Knight Foundation, Breyer Capital, Juniper Networks, CME Group, Wargaming et d'autres. C’est assez standard pour une entreprise à but lucratif. Le modèle économique de Wickr semble actuellement reposer sur l’offre de services d’abonnement premium.

Dans l’ensemble, Wickr est assez similaire à Wire car il propose une gamme de services professionnels et permet aux utilisateurs de s’inscrire de manière anonyme. Il gagne des points supplémentaires dans la mesure où il ne stocke pas de métadonnées comme le fait Wire, mais son refus de rendre son code entièrement open source rebutera beaucoup plus d'individus soucieux de leur sécurité.

Bien que Wickr soit généralement un bon service, Signal offre un réseau plus vaste et plusieurs avantages en matière de sécurité. À moins que vous n’ayez spécifiquement besoin d’outils de collaboration professionnelle ou de l’anonymat, Signal est probablement le meilleur choix dans la plupart des cas.

4. Émeute

Riot adopte une approche différente des applications évoquées précédemment et il est probablement préférable de la laisser aux utilisateurs expérimentés pour le moment. C'est open-source et utilise le protocole fédéré Matrix , ce qui signifie que les utilisateurs de Riot ne sont pas limités à envoyer des messages à d'autres personnes ayant installé la même application.

Parce qu'il est construit sur un standard ouvert, Riot les messages peuvent être transmis à toute autre application utilisant également le protocole Matrix . Cela signifie qu'un message Riot peut aller directement dans la boîte de réception de toute personne utilisant des programmes comme Fractal ou WeeChat Matrix.

La nature fédérée le fait un peu comme le courrier électronique : vous pouvez envoyer et recevoir des e-mails de n'importe qui, même si vous utilisez Gmail et qu'ils utilisent Outlook. Tout comme le courrier électronique, le protocole Matrix vise à être largement accepté, permettant aux utilisateurs de s'envoyer des messages, quel que soit le client qu'ils utilisent.

Il existe des ponts officiels vers des protocoles tels que XMPP et IRC, ainsi que vers l'outil de collaboration Slack. La communauté a également développé ses propres ponts qui relayer des messages vers et depuis une variété de types de communication populaires , y compris:

  • E-mail
  • SMS
  • WhatsApp
  • Signal
  • Facebook Messenger
  • Skype
  • iMessage
  • Télégramme
  • Google Hangouts
  • WeChat
  • Discorde

Riot offre une variété de fonctionnalités communes, des appels texte aux appels vidéo, des discussions privées aux discussions de groupe, en passant par le partage de fichiers et même des robots. Cependant, il n’est pas aussi simple à utiliser et beaucoup moins mature qu’un concurrent comme Signal.

Malgré les avantages apparents de pouvoir communiquer entre applications, les systèmes fédérés ont aussi leurs inconvénients . Ils peuvent rendre le développement plus difficile, ce qui peut conduire à se laisser distancer par des systèmes cloisonnés tels que Signal et Wire. Cela signifie qu’ils pourraient tarder à adopter de nouvelles fonctionnalités et mécanismes de sécurité, ce qui rendrait les services moins attrayants.

Le cryptage de bout en bout du protocole Matrix de Riot est construit sur l’algorithme Double Ratchet que Signal utilise également. Utilisations matricielles MegOLM pour les discussions de groupe, ainsi qu'un certain nombre d'autres techniques cryptographiques.

Riot est encore une application relativement immature, sa sécurité actuelle est donc discutable. En avril, les serveurs du protocole Matrix sous-jacent ont été pénétré par un hacker , ce qui peut leur avoir donné accès aux données des messages, aux hachages de mots de passe et aux jetons d'accès.

La clé pour signer l'application Riot peut également avoir été compromis , ce qui aurait pu permettre à l'attaquant de publier une version malveillante de Riot. Les développeurs ont publié une nouvelle version de l'application avec un identifiant différent pour éviter cette possibilité.

À ce stade, il semble qu’aucun audit de sécurité approfondi n’ait eu lieu. Il est donc difficile de savoir dans quelle mesure Riot résiste à un examen minutieux. Les applications à leurs débuts ont tendance à être semées de problèmes de sécurité, les utilisateurs doivent donc être prudents, mais cela ne signifie pas nécessairement que Riot ne sera pas une application sécurisée à l'avenir.

Riot remonte à Amdocs, une multinationale israélienne dont le siège est désormais aux États-Unis. Un outil de chat a été créé au sein de l’entreprise, qui s’est transformé en protocole Matrix. Une filiale a été créée pour gérer le projet, mais son financement a été interrompu en 2017.

Cela a conduit à les développeurs principaux créent leur propre entreprise se concentrer sur la construction de Matrix et de Riot. Une grande partie de la financement initial est venu de la communauté, avec une injection d'argent de Statut , les partenariats et le potentiel de conseil. Dans le cadre de ce modèle économique, l'application est actuellement proposée gratuitement, sans support publicitaire.

Il existe un petit scepticisme en ligne quant aux débuts de l'application sous Amdocs, qui était a déjà fait l'objet d'une enquête pour un possible espionnage lié à Israël . L’enquête n’a trouvé aucune preuve et le projet est désormais géré par une société distincte. Le lien est probablement l’un des aspects les moins préoccupants de la sécurité de Riot, mais certains passionnés de la sécurité de l’information adorent les bonnes conspirations.

A ce stade, Riot dispose d'un réseau relativement petit . Son site Web implique qu’il compte sept millions d’utilisateurs, tandis que le Play Store de Google en revendique plus de 10 000. Les chiffres de Riot pourraient certainement être exacts, car la plupart des membres de sa communauté sont soucieux de la sécurité, ce qui les rend plus susceptibles de télécharger l'application via leur navigateur ou F-Droid.

Malgré sa petite base d'utilisateurs, Riot est bien plus utilisable que ces chiffres ne le suggèrent en raison de son interopérabilité avec d'autres applications utilisant le protocole Matrix, ainsi que de ses ponts vers d'autres plates-formes.

5. WhatsApp

messagerie-chiffrée-4

Logo WhatsApp par WhatsApp sous licence CC0

Maintenant que nous avons discuté de quelques applications différentes axées sur la sécurité, il est temps de nous pencher sur les plates-formes les plus courantes. En tant que compromis entre la sécurité et la possession d’un grand réseau, WhatsApp est probablement le meilleur choix. En termes de fonctionnalités, il contient à peu près tout ce dont la plupart des gens ont besoin, il est construit sur le protocole de Signal et compte un nombre incroyable d'utilisateurs, avec 1,5 milliard d'utilisateurs mensuels actifs d'ici fin 2017.

En raison de son omniprésence, la plupart des lecteurs le connaissent probablement, nous n’aborderons donc pas ses fonctionnalités en détail. La partie la plus importante est sa sécurité. En 2014, WhatsApp a fait des vagues dans l'industrie technologique en tant que l'une des premières grandes plateformes à démarrer chiffrer ses messages de bout en bout par défaut .

Pour y parvenir, il a collaboré avec Open Whisper Systems, société mère de Signal, en tête du peloton dans la vague actuelle d’adoption du cryptage. Bien qu’il soit construit en utilisant le même protocole, tous les aspects ne sont pas identiques. Pour commencer, c'est le code est propriétaire et n'est pas ouvert à l'inspection . Cela signifie que nous ne pouvons pas être complètement sûrs de ce qui se passe sous le capot.

Même si quelques vulnérabilités ont été découvertes, elles ont été largement exagérées par les médias. En 2017, le Guardian a signalé une faille importante qui mettait les utilisateurs en danger. Cependant, cela s'est avéré inexact par la suite et le journal a depuis j'ai rétracté l'article .

En mai, un la vulnérabilité a été trouvée dans WhatsApp, mais il a depuis été corrigé. Même si cette faille est certes inquiétante, elle doit être considérée dans son contexte. Il s'agissait d'une technique très avancée développée par le groupe NSO, une société de sécurité qui développe des attaques si complexes qu'elle peut essentiellement être considérée comme un conglomérat de cyber-super-vilains.

On ne sait pas exactement combien de personnes ont été touchées, mais si l’on en croit des attaques similaires, le piratage aurait nécessité un grand nombre de ressources pour être monté, et n'aurait pu être utilisé que de manière ciblée .

En suivant cette logique, il semble que les utilisateurs à faible risque n’étaient pas vulnérables, et même s’ils l’étaient, ils sont désormais en sécurité tant qu’ils l’ont fait. installé la dernière mise à jour . Malgré ces rapports occasionnels et exagérés, la plate-forme WhatsApp est l’une des options grand public les plus sécurisées disponibles.

Bien que la sécurité de l’application soit correcte, les différences les plus alarmantes entre WhatsApp et Signal résident dans la quantité de données collectées par WhatsApp, ainsi que dans la personne qui les contrôle. WhatsApp stocke bien plus de métadonnées que Signal, y compris qui a été contacté, à quelle heure la communication a eu lieu et combien de temps a duré les appels.

C'est ouvertement partage cette information et les données du carnet d'adresses avec les autorités si cela lui est ordonné. Bien que WhatsApp ne puisse pas transmettre le contenu du message, les métadonnées suffisent souvent à aider les forces de l’ordre dans leurs enquêtes.

WhatsApp aussi remet ces données à Facebook sous prétexte qu'il est censé aider à lutter contre le spam, à suivre les statistiques et à diffuser des publicités plus pertinentes. L'exception est en Europe, où Réglementation de l'UE empêche l’entreprise de le faire.

Facebook a un long historique de violations de la vie privée – son modèle économique en dépend. Malgré les bonnes mises en œuvre de sécurité de WhatsApp, il est difficile de surmonter sa soumission à une entreprise aussi controversée. Il partage déjà ses métadonnées, mais la confidentialité et la sécurité pourraient-elles se détériorer avec le temps ?

Tout sur l’avenir de WhatsApp est en suspens car Facebook est actuellement au milieu d’une refonte massive qui vise à intégrer Facebook , WhatsApp et Instagram pour permettre la messagerie multiplateforme entre les services.

Il est difficile de savoir quel impact cela aura sur la sécurité car, à ce stade, peu de détails ont été publiés. Facebook a exprimé un plus grand engagement en faveur de la confidentialité à l'avenir , mais à ce stade, nous ne pouvons pas savoir comment les choses vont se terminer.

WhatsApp est loin d’être parfait, surtout si l’on considère qui est son suzerain. Cependant, étant donné que de nombreuses personnes l’ont déjà, c’est un bon choix si des options plus sécurisées ne sont pas possibles.

6. Télégramme

messagerie-chiffrée-5

Logo du télégramme par Javitomad sous licence CC0

Telegram est souvent considéré comme une alternative sécurisée, mais lorsque l’on creuse plus profondément, tout n’est pas ce qu’il semble être. Il est riche en fonctionnalités et connaît une croissance rapide, en particulier dans les pays où d’autres services ont été interdits.

Le premier reproche à l’application est que son système de cryptage, MTProto, est basé sur la propre cryptographie de Telegram. C'est un péché capital parce que la cryptographie est notoirement complexe et facile à gâcher . La plateforme est depuis longtemps critiqué par les cryptographes pour ne pas avoir utilisé un système de cryptage plus sécurisé et minutieusement examiné.

Le deuxième défaut majeur est que seul son code source côté client est open source . Cela signifie que nous ne savons pas vraiment ce qui se passe côté serveur. Réclamations de télégramme qu’il finira par publier l’intégralité du code, mais qu’il ne peut pas faire l’objet d’une enquête approfondie pour des problèmes de sécurité d’ici là.

Telegram a également été critiqué pour sa configuration de messagerie par défaut, qui n'est pas cryptée de bout en bout. L’entreprise a accès aux clés qui protègent les communications d’un utilisateur et pourrait théoriquement être contrainte de les remettre aux autorités.

Télégramme réclamations que cela ne s'est jamais produit, et qu'en raison de sa configuration, il faudrait ordonnances du tribunal de plusieurs pays pour y parvenir, mais c’est toujours un sujet de préoccupation que Signal et WhatsApp ne partagent pas.

Telegram propose également une fonction de chat secrète qui crypte les messages de bout en bout, mais cela pose également problème. Pour commencer, il est également basé sur le système de cryptage controversé de Telegram, qui n’est peut-être pas aussi sécurisé que l’affirme la société.

L'autre aspect critique est que il faut des efforts supplémentaires pour chiffrer les conversations de cette manière , ce qui signifie que la plupart des gens ne s'en soucient pas avec ça. Si vous êtes soucieux de la sécurité, il est probablement préférable de vous en tenir à une application qui sécurise tout par défaut, afin que vous n'ayez pas à prendre de mesures supplémentaires pour assurer la sécurité de vos communications.

Pour le moment, les discussions de groupe ne peuvent pas être chiffrées de bout en bout. La société a également été critiquée pour avoir lancé des concours de cryptographie, où jusqu'à 300 000 $ était proposé si quelqu'un pouvait attaquer la plateforme d'une manière spécifique. Le scénario était irréaliste et a été tourné en dérision par blogueurs de sécurité .

Comme prévu, personne n’a réussi à gagner aucune des compétitions, mais cela n’était pas nécessairement dû à la sécurité de Telegram. Les concours de crack sont généralement considéré avec dédain par la communauté infosec, puisqu'ils sont souvent injuste et plus une question de posture que de sécurité réelle .

Les pratiques de sécurité de Telegram ne sont peut-être pas les pires au monde, mais elles semblent certainement louches. La sécurité implique toujours un certain degré de confiance, et certaines des pratiques mentionnées ci-dessus ont érodé ce sentiment.

7. iMessage

iMessage est fourni par défaut avec les produits Apple, mais son nombre exact d'utilisateurs est difficile à déterminer. En 2017, on estimait qu'il y avait environ 700 millions d'iPhone à travers le monde, une estimation de plus d’un milliard d’utilisateurs ne serait donc pas déraisonnable.

Bien qu’elle soit limitée aux utilisateurs Apple, il est important de se pencher sur la sécurité de l’application en raison de sa popularité. Le premier problème majeur est que le code est propriétaire et non open source, ce qui signifie que la communauté de la sécurité n’a pas eu l’occasion de l’examiner.

L'entreprise mène des audits internes, mais il est difficile d'obtenir des informations sur les examens externes. De ce fait, il est difficile de savoir si elles ont été réalisées, quand la plus récente a eu lieu et quels en ont été les résultats.

Un autre problème est qu'iMessage utilise Clés RSA 1 280 bits . Bien que ceux-ci soient actuellement suffisamment puissants pour protéger contre la plupart des attaques, il n’est pas exclu que un attaquant d'un État-nation pourrait les forcer brutalement . Pour cette raison, le NIST recommande actuellement des clés RSA de 2 048 bits comme minimum.

Quelques failles de sécurité ont été découvertes dans iMessage au fil des années, mais rien de scandaleux. En 2016, des chercheurs de l'Université John Hopkins découvert un bug qui leur a permis de récupérer la clé de cryptage, mais celle-ci a depuis été corrigée par Apple.

En ce qui concerne l’approche globale de l’entreprise en matière de confidentialité et de sécurité, il est difficile de savoir où se situe réellement Apple. De l'entreprise cas avec le FBI concernant la fusillade de San Bernardino semble montrer que l'entreprise et son cryptage de bout en bout s'opposent fermement aux autorités.

D'autre part, fuite de documents de la NSA allèguent qu'Apple était l'une des rares entreprises qui ont donné à l'agence à trois lettres l'accès à leurs systèmes afin d'espionner des personnes dans certaines situations. L'entreprise a nié toute participation active au programme.

Il est difficile de connaître les positions exactes d’Apple sur le sujet, mais il convient de noter les positions de l’entreprise. le modèle économique ne tourne pas autour de la collecte de données , contrairement à ses rivaux Facebook et Google. Dans l’ensemble, iMessage ne devrait probablement pas être votre premier choix en matière de sécurité, mais cela devrait convenir tant que votre niveau de menace n’est pas trop élevé.

8. Facebook Messenger

messagerie-chiffrée-6

Logo Facebook Messenger 4 par Facebook sous licence CC0

Enfin, nous arrivons à l'une des plateformes de messagerie les plus populaires, une application que vous devriez éviter si vous vous souciez de votre confidentialité et de votre sécurité. Facebook Messenger est omniprésent, gratuit, facile à utiliser et continue d'ajouter de nouvelles fonctionnalités, mais le service est loin d'être suffisamment efficace pour protéger les intérêts de ses utilisateurs.

Facebook génère la grande majorité de ses revenus en récoltant des données personnelles et en insérant des publicités. la confidentialité va à l’encontre de son modèle économique actuel . Sa réputation en matière de sécurité n’est pas non plus excellente.

Pour commencer, le chiffrement de bout en bout n’est pas proposé par défaut. Comme nous en avons discuté dans la section sur Telegram, cela signifie que l’écrasante majorité des gens ne profiteront pas de l’opportunité d’utiliser sa fonctionnalité Conversations secrètes, qui est basé sur le protocole Signal . Le résultat est que les messages privés de la plupart des gens sont scannés et analysés par la plateforme.

En plus de cela, le le code de l’entreprise est propriétaire et n'est pas ouvert à l'examen par les chercheurs et le reste de la communauté open source. Cela signifie que nous ne savons pas ce qui se passe réellement ni s’il existe des portes dérobées ou des vulnérabilités.

Si nous devions couvrir tous les incidents passés en matière de sécurité et de confidentialité de l’entreprise, nous serions là toute la journée. Comme point de départ, nous avons :

Les problèmes ci-dessus ne font qu’effleurer la surface des problèmes de confidentialité et de sécurité de Facebook. Il suffit de dire que Facebook Messenger est à peu près la pire application que vous puissiez utiliser si vous recherchez une plateforme sécurisée et privée.

Facebook a récemment promis un changement de direction pour devenir une entreprise plus axée sur la confidentialité. Elle fait également l’objet d’une refonte majeure pour intégrer WhatsApp, Instagram et Messenger, mais il est difficile de dire dans quelle mesure ces changements affecteront les services de l’entreprise à long terme.

Autres applications de messagerie

Nous vous avons donné un aperçu rapide de certaines des applications les plus populaires, ainsi que quelques-unes présentant les meilleures approches en matière de sécurité. Il y en a d’innombrables autres qui entrent dans l’une ou l’autre catégorie, mais il n’est tout simplement pas pratique de les couvrir toutes.

Si vous souhaitez évaluer une application dont nous n’avons pas parlé, posez les questions suivantes :

  • Est-ce axé sur la sécurité et la confidentialité ?
  • Est-ce open source ?
  • A-t-il été audité ?
  • Est-ce bien perçu par la communauté de la sécurité ?
  • Y a-t-il eu des incidents de sécurité antérieurs ? Étaient-ce mineurs ou majeurs ? Ont-ils été corrigés ?
  • L'entreprise est-elle transparente ?
  • Est-ce un gadget (attention aux mots à la mode comme blockchain ou cryptage de niveau militaire) ?
  • À qui appartient-il ? Quelles sont leurs motivations ?
  • Quel modèle économique le soutient ? Publicité? Exploration de données ? Des abonnements ? Des dons?

Si l'application fonctionne raisonnablement bien dans chacun de ces domaines, alors c'est probablement digne de confiance . Cependant, il peut également être intéressant d’essayer de trouver une analyse réalisée par un chercheur en sécurité de confiance.

Quelle application de messagerie cryptée dois-je utiliser ?

La meilleure approche consiste à utiliser l’application la plus sécurisée et adaptée à vos besoins de communication. Si la personne à qui vous souhaitez parler possède une application comme Signal, ou si elle est prête à la télécharger, alors pourquoi ne pas l'utiliser au lieu d'une alternative qui récupérera vos informations ?

À titre indicatif et très discutable (en fonction de vos préoccupations individuelles), il est probablement préférable de parcourir cette liste d'applications dans l'ordre suivant et d'utiliser la première qui convient à la situation :

  1. Signal, Wire, Wickr ou un équivalent de haute sécurité.
  2. WhatsApp ou iMessage.
  3. Télégramme.
  4. Facebook Messenger.

Vous devez également prendre le temps d’analyser votre niveau de menace individuel, ainsi que les risques d’une conversation ou d’un sujet donné. Cela vous aidera à décider quelle application est la plus appropriée dans une situation donnée.

Si vous êtes une cible de grande valeur comme Edward Snowden, il est préférable de toujours s’en tenir à l’extrémité la plus sécurisée du spectre. D’un autre côté, si vous êtes une grand-mère qui souhaite un joyeux anniversaire à ses petits-enfants, vos besoins en matière de sécurité ne sont probablement pas aussi importants.

Pourquoi devriez-vous utiliser l’application la plus sécurisée possible ?

L’utilisation de l’application la plus sécurisée présente plusieurs avantages distincts :

Il protège vos données des entreprises, des pirates informatiques et des forces de l'ordre

Il a été prouvé qu’une application comme Signal ne stocke aucune donnée utilisateur significative. Cela signifie qu'ils ne collectez pas toutes vos informations et ne les utilisez pas à des fins publicitaires ou pour revendre à d'autres. Un autre avantage majeur est que si des pirates tentent d’accéder à leurs serveurs, ils n’obtiendront rien d’utile.

Un autre avantage est qu’il n’y a pas beaucoup de données que Signal peut fournir aux forces de l’ordre sous la pression. Ceci est crucial pour les militants ou ceux qui vivent dans des régimes autoritaires qui peuvent être injustement ciblés par les autorités.

Lorsque vous comparez une application axée sur la sécurité à une application qui se situe à l’autre extrémité du spectre, comme Facebook Messenger, les différences sont étonnantes. Facebook en sait probablement plus sur vous que sur votre mère et utilise ces informations de plusieurs manières douteuses. Il a subi de nombreuses violations de données et ne semble pas se soucier de la transmission de données aux autorités.

Vous n'avez pas besoin de changer d'application et cela vous protège contre les divulgations accidentelles

Un argument courant est que la plupart des communications ne contiennent aucune donnée sensible ou précieuse, alors pourquoi s’embêter à les protéger ? Pour commencer, les conversations ont tendance à partir sur des tangentes et peuvent facilement nous amener à aborder des sujets qui nécessitent sécurité et confidentialité, avant même que nous nous en rendions compte.

Si cela se produit sur une application comme Facebook Messenger, les données tombent directement entre les mains de l’entreprise et pourrait même finir par se retrouver entre les mains des pirates informatiques ou des autorités. Si vous utilisez déjà une application qui protège vos données, ces types de dérapages accidentels ne sont pas aussi préoccupants.

Lorsque vous utilisez par défaut une application sécurisée, cela signifie également que vous vous n’avez pas besoin de changer d’application chaque fois que des sujets sensibles sont abordés. Cela facilite les choses et vous évite également de discuter de ces sujets sur une application non sécurisée par paresse.

Si vous êtes ciblé par les autorités, cela peut également offrir des garanties supplémentaires. Disons que vous menez la plupart de vos conversations sur Facebook Messenger et que chaque fois que quelque chose d'important arrive, vous dites « Passons à Signal » à votre destinataire.

Si les autorités mettent la main sur vos enregistrements Facebook, elles verront vos références fréquentes à Signal, puis la conversation se terminera. Ils ne seront pas en mesure de dire de quoi vous parliez sur Signal, mais les informations dont ils disposent leur donnent une assez bonne idée que cela pourrait valoir la peine d’être étudié.

Cela leur indique également à qui vous en parliez et quand. Parfois, c’est tout ce dont les autorités ont besoin pour mener leur enquête sur une base solide.

Soyez pragmatique

Chaque fois que vous le pouvez, essayez de convaincre vos amis, votre famille et vos collègues d’utiliser des plateformes de messagerie plus sécurisées. Si vous parlez de quelque chose qui est sensible ou précieux, vous devez insister pour utiliser une application suffisamment sécurisée .

Même lorsque les conversations ne sont pas si importantes, il est préférable de faire doucement pression sur vos destinataires pour qu’ils utilisent une application plus sécurisée. Mais assurez-vous de ne pas vous laisser trop prendre par la sécurité et de ne pas perdre de vue d’autres choses importantes.

Si quelqu'un souhaite organiser un rendez-vous autour d'un café via Facebook Messenger, ou si votre cousin souhaite vous montrer des photos de son chien via la plateforme, vous devriez peut-être le laisser faire. Certaines personnes n’ont pas le temps ou ne comprennent pas le besoin de sécurité et, dans de nombreuses situations, cela ne vaut tout simplement pas la peine de sacrifier la relation personnelle.

Tant que vous n'êtes pas Julian Assange, la valeur de l'interaction et de l'amitié est probablement bien plus grande que les pertes causées par Facebook qui découvre que vous ne pensez pas que les frappuccinos devraient exister, ou que le chien de votre cousin est plutôt déséquilibré. .

Les limites des applications de messagerie sécurisées

Si vous optez pour un service de messagerie sécurisé, il est facile de tomber dans l’illusion que vos communications sont à toute épreuve. Ils ne le sont pas, et il y en a encore quelques façons dont vos données peuvent être compromises .

Même si vous utilisez l’une des meilleures applications du marché, tout ce qu’elle peut fournir est un cryptage de bout en bout. Cela signifie que vous saisissez des données dans l'application, qu'elles sont cryptées, transitent par les serveurs de l'organisation, sont transmises à l'application de votre destinataire et décryptées, puis le message est disponible pour que votre destinataire puisse y accéder.

Bien que vos données soient en sécurité lorsqu'elles transitent entre les applications, il est toujours vulnérable avant d’être crypté et une fois déchiffré . Cela signifie que si votre appareil ou celui de votre destinataire a été compromis, un attaquant peut alors accéder aux communications. C’est pourquoi il est important de maintenir une bonne hygiène de sécurité, pour essayer d’empêcher les logiciels espions de se retrouver sur votre appareil.

Il ne faut pas se méfier uniquement des logiciels malveillants. Si vous utilisez une application qui sauvegarde vos conversations, cela n'est probablement pas fait avec un niveau de sécurité élevé . Même si les attaquants ne peuvent pas accéder à vos communications lorsqu'elles transitent d'une application à l'autre, ils peuvent y accéder une fois qu'elles ont été sauvegardées.

Des mots de passe faibles peuvent également exposer vos données. Si quelqu’un peut découvrir, deviner ou forcer brutalement votre mot de passe ou celui de votre destinataire, il pourra alors accéder à votre compte et voir vos messages. Mots de passe forts et authentification à deux facteurs peut assurer votre sécurité, même si vous devez faire attention à la vérification par SMS car elle n’est pas sécurisée.

Un autre problème majeur est que vous ou votre destinataire pourriez vous retrouver dans des situations où vous serez obligé de fournir vos mots de passe ou des détails sur ce qui a été discuté. Votre destinataire pourrait avoir été compromis dès le départ et en informer les autorités ou d’autres adversaires.

Alternativement, l’un ou l’autre de vous pourrait finir par être menacé par les forces de l’ordre d’une lourde peine de prison, ou céder sous l’influence de la torture. Les gens transmettent beaucoup d’informations lorsqu’ils sont sous la contrainte.

Même si l’utilisation d’applications de sécurité contribue grandement à vous protéger, vous, vos données et vos communications, il existe des circonstances extrêmes dans lesquelles cela ne peut pas aider. Malgré cette possibilité, ces scénarios sont incroyablement rares et la plupart des gens devraient avoir confiance dans les protections que leurs applications leur offrent, à condition qu'ils les utilisent de manière appropriée.

^