Rechercher

Signal : quelle sécurité et confidentialité des données ?

Histoire, sécurité, hébergement, respect de la vie privée… voici tout ce que vous devez savoir sur Signal. 

Signal : hier peu connue, aujourd’hui succès des téléchargements

En janvier 2021, WhatsApp a fait la une de la plupart des médias du monde : l’application de messagerie instantanée a en effet annoncé se rapprocher encore davantage de sa maison mère Facebook en partageant les données de ses utilisateurs avec elle.   

Si cette annonce a eu un effet désastreux pour l’image de WhatsApp, elle a profité à une application de messagerie instantanée, jusque-là peu connue : Signal. Selon l’institut Sensory Tower, le nombre de téléchargements de l’application Signal serait évalué à 47 millions de téléchargements dans le monde entre le 4 et le 17 janvier.  

Signal : une histoire de convictions

Source : Steve Jennings/Getty Images pour TechCrunch 

Créée en 2014 par le cryptographe Moxie Marlinspike, Signal permet de communiquer en toute sécurité par le biais d’un chiffrement de bout-en-bout des données.  

Autodidacte, Moxie Marlinspike a appris seul les rouages de l’informatique. Selon l’hebdomadaire américain Time, il « a toujours eu une méfiance envers l’autorité, mais les fuites de Snowden semblaient cristalliser ses opinions. Dans un article publié sur son blog en juin 2013, qui n’est plus accessible en ligne, Marlinspike a écrit sur le danger que représentent ces nouvelles capacités de surveillance lorsqu’elles sont exercées par un État auquel on ne peut pas faire confiance. […]. “Il est possible de développer des solutions techniques conviviales qui feraient obstacle à ce type de surveillance” écrit-il ». 

Si le jeune homme insiste sur la possibilité technique de ses convictions, c’est qu’il a développé un protocole de chiffrement de bout-en-bout garantissant la confidentialité des échanges entre deux personnes, appelé « Textsecure Protocol » qui deviendra plus tard « Signal Protocol ». A noter que ce protocole est disponible en « open-source », autrement dit, accessible à tous sur Internet.  

 « En 2010, Marlinspike a lancé deux applications – une pour les messages textuels et une autre pour les appels téléphoniques – basées sur le protocole. En 2014, il les a fusionnées, et Signal est né », poursuit l’article du Time.  

Signal : l’app des geeks et des militants

Si ses intentions sont pures, Moxie Marlinspike peine à faire de son app un succès. Signal attire principalement des experts en cybersécurité, une base d’utilisateurs assez mince.   Marlinspike va alors solliciter l’aide de Brian Acton, qui n’est autre que le co-fondateur de WhatsApp. Une aide qui sera mutuelle. Toujours selon le Time, « en 2016, avec la bénédiction de Facebook, ils ont travaillé à l’intégration du protocole de Signal dans WhatsApp, chiffrant des milliards de conversations dans le monde entier ». 

Marlinspike déclare alors au magazine Wired: « C’est une grande victoire qu’un milliard de personnes utilisent WhatsApp sans même savoir qu’elle est chiffrée », avant d’ajouter « Je pense que nous avons déjà gagné le futur ».  

Alors que WhatsApp est rachetée par Facebook, les désaccords entre Brian Acton et la maison-mère se multiplient. Acton quitte WhatsApp et investit une partie de sa fortune dans la Fondation Signal, plus exactement 50 millions de dollars. C’est cet investissement qui a permis de rendre l’app « user-friendly », c’est-à-dire simple et agréable à utiliser au quotidien.  

Signal devient peu à peu l’application préférée des journalistes, lanceurs d’alertes et militants de tous les pays. Sur la page d’accueil de Signal, une citation d’Edward Snowden (ancien agent de la NSA qui a dénoncé la surveillance de masse) fait foi.  

A noter qu’à ce jour, Brian Acton est le président exécutif de la Fondation Signal et Moxie Marlinspike son co-fondateur. 

Signal : les données des utilisateurs sont-elles confidentielles ?

Signal garantit un chiffrement total des messages, appels ou médias partagés, et ne prélève aucune information, à part le numéro de téléphone de l’utilisateur requis lors de la création du compte. Il est stocké sous forme de métadonnée (information sur une donnée spécifique) et non relié à l’utilisateur.  

Les messages sont indéchiffrables et ne sont visibles que par l’utilisateur lui-même et le destinataire des messages. « Nous ne pouvons ni lire vos messages ni écouter vos appels, et personne d’autre ne peut le faire », publie Signal sur son site web.  

 Les librairies de Signal sont consultables ici : https://signal.org/docs/ 

Signal : les données sont-elles monétisées ?

Signal fonctionne sur un modèle économique particulier. A ses débuts, c’est l’Open Technology Fund, une organisation à but non lucratif financée par le Congrès américain, qui lui offre près de 3 millions de dollars dans le cadre des subventions qu’elle accorde à des projets visant à contrer la censure et la surveillance. 

Aujourd’hui encore, l’app ne survit que grâce aux dons. Elle écrit sur son site : « Signal est un organisme sans but lucratif indépendant. Nous ne sommes reliés à aucune entreprise importante en technologie et nous ne pourrons jamais être achetés par l’une d’elles. Le développement est financé par des subventions et des dons de personnes comme vous ».  

Cette particularité lui permet de proposer une expérience sans aucune publicité ou tracker, comme l’explique son site : « Dans Signal, il n’y a aucune publicité, aucun mercaticien partenaire, ni aucun suivi inquiétant ».  

Des informations qui se vérifient au sein des Conditions d’utilisation  de l’application : « Signal est conçu pour ne jamais collecter ou stocker des informations sensibles. Les messages et les appels Signal ne peuvent pas être consultés par nous ou par d’autres tiers car ils sont toujours chiffrés de bout en bout, privés et sécurisés ».  

Au sein d’une Politique de confidentialité qui n’excède pas 500 mots, Signal précise sur les données envoyées au tiers : « Nous travaillons avec des tiers pour fournir certains de nos services. Par exemple, nos fournisseurs tiers envoient un code de vérification à votre numéro de téléphone lorsque vous vous inscrivez à nos services. Ces fournisseurs sont tenus par leur politique de confidentialité de protéger ces informations ». 

Où sont hébergées les données personnelles des utilisateurs ?

Il est à ce jour difficile de répondre avec exactitude à cette question. Les dernières déclarations de Signal en la matière datent de mai 2018 et laissent penser que Signal utilise le cloud d’Amazon Web Services. 

A noter que les données hébergées sont quasi-inexistantes. Comme l’écrit le magazine américain Forbes en janvier 2021, Signal ne stocke qu’ « un seul élément de métadonnées – votre propre numéro de téléphone – et même cela “n’est pas lié à votre identité” ». 

Comparatif des données liées aux utilisateurs selon les apps de messagerie, par Apple, repris par le magazine Forbes, janvier 2021 

Quel avenir pour Signal ?

En 2016, Moxie Marlinspike pensait « avoir gagné le futur ». En janvier 2021, son application « se trouve à la première position sur le Play Store aux États-Unis, au Royaume-Uni, en Allemagne, au Liban et en France, entre autres. Dans d’autres pays comme l’Inde, le Brésil et Singapour, le service de messagerie se place dans le trio de tête », écrit Androidpolice.

Signal est aujourd’hui plébiscité par des personnalités influentes, comme le président de Tesla, Elon Musk, qui a tweeté le 7 janvier « Use Signal », et déclenché plus de 100 000 téléchargements entre la nuit du 7 et 8 janvier selon Business Insider.   

Le 15 mai 2021 sera la date d’application des nouvelles conditions d’utilisation de WhatsApp. Une autre date clé de l’année qui pourrait encore profiter à Signal.  

 

Pour en savoir plus sur la protection des données personnelles, n’hésitez pas à consulter la rubrique « Data » de notre blog, en cliquant ici.