L’application de messagerie Signal s’est popularisée en janvier 2021 lorsque WhatsApp a mis à jour sa politique de confidentialité. Suite à la recommandation d’Elon Musk d’utiliser l’app Signal, des millions d’utilisateurs l’ont téléchargée, ce qui a entraîné des problèmes techniques temporaires avec le service.
Cependant, les experts en cybersécurité connaissent l’app Signal depuis un moment déjà, et son succès n’est pas étonnant car les développeurs ont passé des années à parfaire la confidentialité et la sécurité de l’application. Voici le résultat de leur dur labeur et voici comment rendre Signal encore plus sécurisé.
Les fonctionnalités de Signal
Tous les utilisateurs de Signal bénéficient d’un chiffrement de bout en bout, d’un stockage de données sécurisé et la possibilité de voir le code de l’application.
Le chiffrement de bout en bout —un pilier de la confidentialité
L’un des avantages indiscutable de Signal c’est son chiffrement de bout en bout par défaut. Cela signifie qu’il n’y a que les parties qui discutent ensemble qui peuvent lire les messages ; personne d’autre, pas même les développeurs, ne peut espionner les échanges individuels ou en groupe. Le chiffrement de bout en bout permet d’améliorer la sécurité des messages.
Dans un sens, c’est grâce à Signal que le chiffrement de bout en bout est de plus en plus utilisé dans les applications de messagerie. Même les applications rivales comme WhatsApp, Facebook Messenger et Skype utilisent Signal Protocol pour assurer une communication sécurisée. Cependant, Signal chiffre beaucoup plus de données.
Contrairement à Telegram, dont le chiffrement de bout en bout ne fonctionne que dans les chats secrets entre deux personnes, Signal chiffre de bout en bout les discussions de groupe ainsi que les appels. De plus, le service ne stocke pas les informations des groupes tels que le nom des participants, le nom du groupe et l’avatar.
Les développeurs de Signal protègent également les métadonnées des conversations ; des informations supplémentaires sur l’identité des personnes qui s’écrivent. Ces informations sont très délicates puisqu’il s’agit du contenu des discussions et qu’elles mènent souvent à des fuites de données confidentielles.
Enfin, Signal chiffre également les informations du profil utilisateur. Seuls les utilisateurs que vous approuvez (contacts, personnes auxquelles vous avez écrit et celles que vous avez autorisé à voir vos informations de compte) peuvent voir votre nom, votre avatar et votre statut.
Confidentialité des contacts et enclaves sécurisées
Signal utilise des « enclaves sécurisées », un stockage isolé sur ses serveurs auquel même les propriétaires du serveur n’ont pas accès. C’est cette isolation qui vous permet de savoir qui parmi vos contacts utilise Signal sans divulguer votre répertoire aux développeurs. L’application envoie une requête chiffrée à l’enclave qui examine vos contacts avec les numéros enregistrés et renvoie une réponse également chiffrée. Aucune autre personne ne peut voir le contenu de la requête.
Politique de transparence
Signal est un projet open source dont les codes sont accessibles à tous, ce qui fait qu’un utilisateur technophile peut lire ou écrire un code pour le logiciel Signal, l’application Android ou iOS ainsi que pour les versions de bureau pour Windows, macOS et Linux afin de s’assurer qu’il n’y a aucune porte dérobée qui compromettrait les données confidentielles des utilisateurs.
Configurer Signal
En dehors de la sécurité inhérente de Signal, l’application permet aux utilisateurs de miser sur une meilleure confidentialité et sécurité grâce à différents paramètres.
Le NIP Signal
Si vous perdez votre appareil ou que vous voulez réinstaller l’application, vous avez la possibilité d’utiliser un NIP Signal pour récupérer votre profil, vos paramètres, vos contacts enregistrés dans l’application (par exemple ceux qui ne se trouvent plus dans votre répertoire) ainsi que ceux que vous avez bloqués.
Mais cela signifie-t-il que vos données sont stockées sur les serveurs de Signal et par conséquent accessibles aux développeurs ou aux hackers ? Oui et non. Oui, les données sont vraiment stockées sur les serveurs, et non, elles ne peuvent pas être compromises car elles sont chiffrées et en sécurité dans les enclaves sécurisées mentionnées ci-dessus dont vous seul connaissez le code.
Lors de l’inscription, l’application invite les utilisateurs à créer un code NIP que vous pouvez changer dans les paramètres. Si vous doutez du NIP et de la sécurité des enclaves, vous pouvez désactiver la fonction soit lors de l’inscription soit après dans les paramètres. Mais sachez que si vous supprimez l’application, vous perdrez toutes les données stockées sur votre appareil, y compris les contacts qui ne se trouvent pas dans votre répertoire.
De plus, si vous n’avez pas de code NIP, une autre personne peut s’inscrire sur Signal en utilisant votre numéro de téléphone par exemple via une technique de piratage appelée SIM swapping (échange de carte SIM). Il peut arriver la même chose si n’avez pas utilisé votre numéro depuis longtemps et qu’il est attribué à une autre personne.
Paramètres de confidentialité
Afin de protéger vos discussions de toutes les personnes qui pourrait avoir accès à votre téléphone, nous vous recommandons d’activer l’option de verrouillage d’écran dans les paramètres. Pour pouvoir accéder à l’application une fois l’option activée, vous devez utiliser le même code, la même empreinte ou le même Face ID que vous utilisez pour déverrouiller votre téléphone.
Par défaut, l’application ne se verrouille pas lorsque vous la fermez. Vous devez aller dans les paramètres de l’application pour activer cette option. Les utilisateurs des appareils Android et iOS peuvent soit définir un temps d’écran dans les paramètres de confidentialité soit choisir un verrouillage instantané. Une fois l’application verrouillée, elle vous demandera votre mot de passe, votre empreinte où votre Face ID à chaque fois que vous retournez sur l’application.
Pour les utilisateurs Android, en plus de pouvoir verrouiller l’application automatiquement après une certaine période d’inactivité, vous pouvez également verrouiller l’application manuellement à partir de la barre de notification.
La version Android de l’application Signal possède une autre fonctionnalité de confidentialité qui peut s’avérer très utile : c’est le mode incognito pour le clavier que vous trouverez dans les paramètres. Si vous activez cette option, cela désactive l’apprentissage des phrases et des mots nouveaux ainsi que de ceux que vous utilisez le plus, et annule la suggestion de mots.
Cela signifie que le clavier ne garde pas en mémoire ce que vous écrivez. Il est possible que le clavier incognito ne fonctionne pas avec tous les appareils. Dans tous les cas, l’application vous en informera lorsque vous essaierez d’activer la fonction.
Pour finir, vous pouvez choisir si vous souhaitez que vos contacts sachent si vous avez lu un message ou si vous êtes en train d’écrire. Comme avec les autres applications de messagerie, une fois que vous avez désactivé l’option, vous ne recevrez également plus ces informations-là à propos des autres utilisateurs.
Associer d’autres appareils au compte
Vous pouvez utiliser Signal sur votre smartphone, tablette ou ordinateur en même temps. Pour cela, vous devez juste associer votre compte avec les autres appareils.
Allez dans Appareils Liés et appuyez sur + pour ouvrir la caméra et scanner le code QR. Ouvrez ensuite Signal sur un autre dispositif de votre choix (par exemple votre ordinateur) et suivez les instructions.
Dans les paramètres de l’application, vous avez la liste de tous les appareils reliés. Nous vous conseillons de vérifier la liste de temps en temps pour savoir si un dispositif inconnu est également connecté, c’est-à-dire si des utilisateurs non désirés utilisent votre compte. Pensez également à dissocier les appareils que vous n’utilisez plus.
Sauvegarde des discussions
Par défaut, Signal ne sauvegarde pas les discussions, mais vous pouvez cependant activer cette fonction afin de pouvoir récupérer vos conversations si vous en avez besoin. Suivez les instructions dans les paramètres et assurez-vous de ne pas perdre le mot de passe à 30 caractères que l’application a créé pour vous car sinon votre copie de sauvegarde ne servira plus à rien.
Signal stocke les copies de sauvegarde sur votre appareil, donc si vous avez besoin de récupérer vos données sur un nouveau téléphone, par exemple, vous aurez tout de même besoin d’accéder à votre ancien appareil. En résumé, si vous perdez votre smartphone ou qu’il se casse, vous ne pourrez pas restaurer vos conversations.
Paramètres avancés (pour les plus prudents)
Ces options gardent votre activité loin des regards indiscrets.
- Dans les conversations, désactivez les aperçus de liens. Cela empêche Signal d’envoyer des requêtes Web supplémentaires au site Internet mentionné. Votre fournisseur Internet y aurait accès sans ça.
- Dans les paramètres avancés de confidentialité, configurez les appels vocaux de sorte que la connexion ne se fasse pas directement avec votre contact mais passe via les serveurs de Signal. Ceci vous permet de masquer votre adresse IP, qui peut s’avérer utile dans certaines circonstances, même si selon les développeurs, cela pourrait réduire la qualité des appels.
- Afin de réduire au maximum les risques d’espionnage, utilisez un serveur proxy qui servira de protection entre votre appareil et les serveurs de l’application (vous trouverez des instructions détaillées sur le site Web de Signal). Avec un serveur proxy, même l’application n’a pas connaissance de votre adresse IP. Cette option peut également être utile dans les pays qui ont bloqué Signal.
Dernières recommandations
Maintenant que vous n’avez pas à vous en faire pour la protection de vos données personnelles dans Signal, et notamment celles de vos conversations, des métadonnées et de votre profil utilisateur, assurez-vous d’avoir pris des mesures pour empêcher que quelqu’un accède physiquement ou à distance à votre appareil sans votre autorisation. Verrouillez toujours votre smartphone, mettez régulièrement à jour toutes vos applications ainsi que votre système d’exploitation et installez une solution de sécurité fiable. Quant aux utilisateurs d’autres applications de messagerie, pensez à configurer correctement Discord et Telegram de sorte à profiter d’une sécurité et d’une confidentialité maximales.