Qu'est-ce que Signal ? 7 fonctionnalités qui en font l'application de référence pour la messagerie privée et sécurisée

zdnet

Qu’est-ce que Signal ? 7 fonctionnalités qui en font l’application de référence pour la messagerie privée et sécurisée

#ViePrivee #donnees #Signal #messagerie

Article mis en ligne le 1er avril 2025

dernière modification le 29 mars 2025

Signal fait parler de lui en ce moment pour de mauvaises raisons. Voici ce qu’il faut savoir à son sujet et pourquoi il reste un choix de premier ordre pour protéger les conversations.

L’application de messagerie Signal fait parler d’elle, et pas pour quelque chose de positif. La polémique vient des Etats-Unis. Pete Hegseth, le secrétaire à la défense, a récemment montré comment ne pas utiliser un canal de communication sécurisé pour partager des informations sensibles et classifiées.

Un journaliste de la publication The Atlantic s’est retrouvé par inadvertance inclus dans une conversation avec des hauts fonctionnaires de l’administration américaine, qui discutaient entre eux des plans de frappes militaires au Yémen. La situation pose un problème majeur pour quelques raisons essentielles, comme le décrit BBC News.

Toutefois, Signal n’est pas à blâmer. La responsabilité incombe plutôt aux fonctionnaires qui n’ont pas pris les précautions nécessaires. Entre de bonnes mains, Signal peut être un outil efficace pour préserver la confidentialité et la sécurité de vos conversations. Qu’est-ce que Signal et pourquoi devriez-vous l’utiliser plutôt qu’une autre application de messagerie ? Voici sept raisons. (...)

L’application Signal est abondamment citée dans la presse depuis deux jours, car elle a servi d’espace de discussion à des officiels américains — et des échanges sensibles ont eu lieu. Aujourd’hui, la messagerie instantanée prend la parole pour apporter des nuances, notamment vis-à-vis d’un mémo discutable du Pentagone.

Elle est depuis deux jours au cœur de l’actualité : l’application de messagerie instantanée Signal n’a sans doute jamais été autant dans la lumière. La raison ? Elle a servi de lieu d’échange aux plus hauts responsables du gouvernement américain et des principaux patrons des services de renseignement.

Cela aurait pu rester confidentiel, mais cette discussion avait un « passager clandestin » : un journaliste de The Atlantic, visiblement ajouté dans la boucle par erreur. Il a constaté que des conversations sensibles avaient lieu hors des canaux sécurisés du gouvernement. Depuis, c’est le scandale aux États-Unis, les officiels impliqués étant accusés d’incompétence. (...)

Dans ce contexte, la sécurité de l’application Signal a aussi été mise sur la table : est-elle assez sûre pour accueillir des débats stratégiques sur des frappes militaires, c’est-à-dire des échanges pouvant relever du secret défense ? Selon un mail du Pentagone daté du 18 mars, et obtenu par la radio publique américaine NPR, la réponse est plutôt non.

Le courrier indique « qu’une vulnérabilité a été identifiée dans l’application de messagerie instantanée Signal. L’utilisation de Signal par les cibles habituelles des activités de surveillance et d’espionnage a fait de cette application une cible de grande valeur pour l’interception d’informations sensibles. »

Le mémo ajoute que des « groupes de pirates professionnels russes utilisent les fonctions ‘appareils associés’ pour espionner les conversations chiffrées ». Ce sujet renvoie directement à une découverte faite par Google montrant qu’il existe un stratagème pour compromettre Signal, via la diffusion de QR Codes malveillants. (...)

Signal dénonce une formulation hasardeuse du Pentagone

C’est justement sur ce mémo que Signal vient de rebondir, le 25 mars, dans un message publié sur Twitter. Les responsables de l’application l’assurent : il est inexact de parler de « vulnérabilité dans Signal » compte tenu du mode opératoire décrit par Google. Celui-ci est effectivement un problème, mais qui n’implique pas les fondamentaux techniques de Signal.

« Cela n’a rien à voir avec la technologie au cœur de Signal. Il s’agissait d’une mise en garde contre les escroqueries par hameçonnage visant les utilisateurs de Signal », écrit la messagerie. « L’hameçonnage n’est pas nouveau, et il ne s’agit pas d’une faille dans notre cryptographie ou dans l’une des technologies sous-jacentes de Signal. » (...)

Activé par défaut dans Signal, ce chiffrement de bout en bout est par ailleurs open source, de manière à ce que tout le monde puisse vérifier qu’il n’y a pas de vice caché dans le code informatique. Cette preuve par la transparence est la plus efficace pour la confiance. Et à cela s’ajoutent les audits auxquels l’app se soumet régulièrement.

« Les attaques de phishing sont une menace constante pour les applications et les sites web populaires », ajoute Signal. C’est en quelque sorte le revers de la médaille du succès croissant que la messagerie rencontre. Plus elle attire du monde, plus elle devient une cible pour des actions malveillantes, à l’image de celle remontée par Google.
La sécurité est aussi l’affaire des internautes

Il s’avère que certaines attaques tentent plutôt de profiter de l’inattention ou bien du manque d’hygiène informatique des internautes pour advenir, au lieu de s’attaquer à l’efficacité du chiffrement de Signal. C’est typiquement le cas des opérations reposant sur des QR Codes vérolés à des fins de phishing. En somme, l’objectif est de pousser l’internaute à la faute, pour qu’il fasse entrer le loup dans la bergerie. (...)

Tant que le niveau général en hygiène informatique ne sera pas assez élevé, les opérations reposant sur l’ignorance, la crédulité et l’imprudence des internautes perdureront. Exactement comme l’affaire The Atlantic, où un journaliste a été ajouté par mégarde dans un groupe secret dans lequel il n’aurait jamais dû être.

Le contrat d’engagement républicain, outil de mise au pas du monde associatif

Créé afin de lutter contre « l’islamisme radical » et « tous les séparatismes », le contrat d’engagement républicain (CER) n’a, à ce jour, jamais en réalité été invoqué à l’égard d’associations confessionnelles, qu’elles soient islamistes ou liées à d’autres mouvements radicaux ou séparatistes, révèle un décompte réalisé par l’Observatoire des libertés associatives.

Et sur les vingt-quatre cas relevés, seuls trois portent sur des faits liés à la religion musulmane au sein d’associations telles qu’une section locale du Planning familial, accusée d’avoir représenté une femme voilée sur une affiche, une MJC, à laquelle on a reproché d’avoir embauché des femmes voilées, et une association d’aide aux femmes, accusée sans preuve de « prosélytisme religieux ».

Pour le reste, le CER, que les associations doivent obligatoirement signer lorsqu’elles demandent une subvention, a été brandi à l’égard de l’association Alternatiba Poitiers accusée de « désobéissance civile » ; d’une association d’aide aux mal-logé·es, l’Atelier populaire d’urbanisme (APU), dont une salariée est accusée de violences verbales envers des agents municipaux ; d’une association d’aide aux immigré·es ayant appelé à une manifestation contre les violences policières interdites ; d’une télévision associative, Canal Ti Zef à Brest, mobilisée dans la lutte contre l’évacuation d’un squat ; ou encore d’une compagnie de théâtre, la compagnie Arlette Moreau à Poitiers, ayant moqué son préfet. (...)

Lors de l’adoption de la loi séparatisme, à l’été 2021, des député·es de l’opposition et des responsables associatifs avaient déjà alerté sur les risques d’un détournement du CER dans un but de répression politique. (...)

Parler de détournement du CER est excessif. Lorsqu’on relit les débats parlementaires, on se rend en effet compte que la majorité assumait, dès le départ, le fait de ne pas viser exclusivement les associations séparatistes radicales mais toute association ayant recours à certains modes d’action liés à la désobéissance civile. (...)

Pourtant, malgré ce champ d’application particulièrement large, le contrat d’engagement républicain est en partie un échec pour le gouvernement. « Le bilan est encore loin d’être concluant », constatait un rapport d’évaluation du Sénat publié au mois de mars, qui soulignait le peu de cas de mobilisation du CER – quatre selon le rapport – et des modalités d’application disparates en fonction des collectivités. « Cette loi ne fait peur à personne. Surtout pas aux islamistes », assénait même sa rapporteuse, Jacqueline Eustache-Brinio.

Comment le gouvernement s’est lui-même piégé (...)

En créant ce contrat, le gouvernement s’est en quelque sorte piégé lui-même. Il n’existe pas en effet de droit à la subvention pour les associations. Chaque collectivité dispose de ce fait d’un droit discrétionnaire en matière d’attribution et elle peut refuser ou accorder telle ou telle subvention sans avoir à se justifier.

En créant le CER, la loi séparatisme a créé un nouvel acte administratif qui offre une prise juridique, un recours possible pour les associations. Or, dans la seule décision visant directement le CER rendue à ce jour, le tribunal administratif de Poitiers a rejeté la demande du préfet de la Vienne visant à obtenir le remboursement d’une subvention versée à l’association Alternatiba pour avoir tenu un atelier de désobéissance civile.

D’autres recours lancés ces derniers mois devraient permettre de préciser cette jurisprudence naissante. (...)

il n’est par exemple qu’évoqué à l’oral dans une réunion ou dans un mail ou brandit comme une menace, sans que l’on sache s’il est vraiment à l’origine d’une sanction à non.

Au mois d’août dernier, Le Monde révélait ainsi qu’il existe une « liste rouge » d’associations basées dans la région du plateau de Millevaches qui seraient privées de subventions par la préfecture sans que cela leur ait été officiellement notifié, leur ôtant ainsi toute possibilité de recours.

Plus récemment, une association d’aide aux immigré·e·s, l’Asti du Petit-Quevilly en Seine-Maritime, s’est vu « rappeler » ses engagements par la préfecture pour avoir appelé à une manifestation contre les violences policières interdite. Celle-ci a transmis cet « avertissement » aux partenaires financiers, dont la métropole de Rouen, qui a en conséquence suspendu l’examen des demandes de subvention de l’Asti. (...)

« Il y a chez certaines collectivités une profonde incompréhension du CER, qui est utilisé à tort et à travers, et notamment comme un moyen de pression, de régulation des relations avec les associations », analyse Claire Thoury, présidente du Mouvement associatif, une organisation regroupant environ 700 000 associations, et qui avait publié, en janvier 2023, un premier bilan de l’application du CER. (...) « Le CER a désormais un effet presque plus symbolique que pratique », ajoute Julien Talpin, chercheur en science politique au CNRS et l’un des fondateurs, en 2019, de l’Observatoire des libertés associatives. « On peut penser que certaines associations n’oseront plus aborder certains sujets comme les violences policières ou en ce moment le conflit israélo-palestinien. Le problème est de réussir à objectiver ces effets indirects et diffus et cette autocensure. » (...)

« Il y a donc une dissonance entre ce que prétend défendre le CER et les conséquences de son application à certaines associations, pointe-t-elle. Cela ne fait en outre qu’ajouter de la confusion à ce que sont les valeurs républicaines. » (...)

L’entrée en vigueur du CER est en outre intervenue dans un contexte de défiance croissante entre le monde associatif et les autorités. « Nous sommes en fait dans un contexte de dérive générale », affirme Claire Thoury. (...)

« Il y a également eu récemment le maire de Saint-Raphaël qui impose à toutes les associations touchant des subventions de participer aux manifestations patriotiques de la ville. C’est hallucinant ! », s’indigne la présidente du Mouvement associatif. (...)

« Les associations ne sont pas là pour faire plaisir aux pouvoirs publics, insiste Claire Thoury. Ce n’est pas leur mission. Mais l’inverse non plus ! Une association peut très bien s’opposer à une collectivité sur un sujet précis et être en accord sur un autre. C’est ce qu’on appelle un contre-pouvoir et c’est tout simplement le cours normal de la vie démocratique. » (...)

Source

Dans la même rubrique