Il faut dire que Signal possède certaines caractéristiques qui lui permettent de se différencier de nombreuses applications concurrentes : non seulement son algorithme de chiffrement est souvent analysé, mais en plus il permet aux experts d’inspecter son code source. Ces derniers peuvent alors par exemple, en plus des bogues, chercher s’il y a une quelconque porte dérobée, ce qui le rend plus digne de confiance que plusieurs de ses concurrents.
Notons également qu’Open Whisper Systems, l’entreprise qui développe Signal, est connue pour ne consigner que des informations minimales sur ses utilisateurs. Par conséquent, lorsque les organismes chargés de l'application de la loi exigent des informations sur les « métadonnées » des messages, l’entreprise ne peut pas leur fournir beaucoup d'informations utiles. Au cours des dernières semaines, elle a eu droit à plusieurs mises à jour, notamment avec la suppression automatique des messages et une vérification simplifiée des conversations sécurisées.
Mais Signal ne fait pas l’unanimité : dans un billet de blog, l’entreprise a affirmé que son application est victime d’un blocage en Egypte et aux Emirats Arabes Unis. « Dans les pays avec un petit nombre de FAI qui appliquent toutes des règles de filtrage définies par l'État, le contournement de la censure peut être difficile. Après tout, ils peuvent toujours désactiver l'accès réseau entièrement. L'objectif d'une application comme Signal est de faire en sorte que la désactivation de tout le réseau internet soit le seul moyen à la disposition du gouvernement pour bloquer Signal », ont assuré les responsables.
Aussi, pour contourner ce problème, Open Whisper Systems a fait appel à une technique baptisée « domain fronting » : « de nombreux services populaires et CDN, tels que Google, Amazon Cloudfront, Amazon S3, Azure, CloudFlare, Fastly et Akamai peuvent être utilisé pour accéder à Signal d’une manière qui semblent indiscernables d'autres trafic non censurés. L'idée est que, pour bloquer le trafic ciblé, le censeur devrait également bloquer ces services entiers. Avec suffisamment de services à grande échelle agissant comme des fronts de domaine, désactiver Signal va commencer à ressembler à désactiver l'Internet ».
Avec la dernière mise à jour sur Android, les utilisateurs qui ont un numéro de téléphone provenant d'Égypte et des Émirats arabes unis ont le « domain fronting » activé automatiquement : « lorsque ces utilisateurs envoient un message Signal, il ressemblera à une demande HTTPS normale vers www.google.com. Pour bloquer les messages de Signal, ces pays devraient également bloquer entièrement google.com ». Cette fonctionnalité anti-censure est également sur iOS sur le canal bêta et sera bientôt disponible en production.
Les développeurs prévoient également des améliorations futures qui permettront à l'application de détecter la censure automatiquement et de passer au domain fronting même si l'utilisateur dispose d’un numéro de téléphone d'un pays où la censure n'est pas normalement présente. Le but est de couvrir les cas où les utilisateurs se déplacent dans d'autres pays où l'application pourrait être bloquée.
Une autre application qui a le vent en poupe est Riot : en plus de permettre aux experts d’inspecter son code source comme Signal et de promettre d’être « aussi sécurisé que Signal », Riot est basé sur le protocole Matrix, un protocole ouvert pour les communications en temps réel qui est conçu pour les communications décentralisées. Cela signifie qu’il n’est pas nécessaire d’avoir installée l’application Riot sur son terminal pour discuter avec quelqu’un étant donné qu'il n'existe aucune instance centrale qui contrôle Matrix ou Riot.
En dehors de cette différence fondamentale, notons que :
- Signal ne peut s'exécuter que sur un seul périphérique mobile (votre identité est liée à un seul périphérique). Aussi, plusieurs périphériques ont des identités différentes. Riot vous permet d'utiliser une seule identité sur tous vos appareils ;
- les utilisateurs de Signal sont identifiés par leur numéro de téléphone. Vous ne pouvez pas utiliser Signal sans transmettre votre numéro de téléphone à Open Whisper Systems et vous devez donner votre numéro de téléphone à tous ceux avec lesquels vous souhaitez communiquer sur Signal. Les utilisateurs de Riot sont identifiés par leurs noms d'utilisateur. Vous n'avez pas besoin de donner à quelqu'un votre numéro pour entrer en contact avec lui via Riot ;
- Riot a une interface de programmation ouverte. Tout le monde peut écrire des logiciels interagissant avec Riot, comme des bots. Signal est un système fermé qui permet seulement au client officiel d'interagir avec lui.
Les applications disposant de chiffrement de bout en bout sont nombreuses, cependant, la question de savoir quelle est la meilleure application de messagerie pour ceux qui veulent se protéger de la surveillance de masse n’est pas aussi évidente qu’il n’y paraît. La réponse à cette question peut être tributaire de la raison pour laquelle vous pensez que la surveillance est mauvaise.
Une raison possible est que vous voulez simplement cacher des informations sur vous-même (ce qui est très souvent une situation tout à fait légitime). Dans ce cas, la seule fonctionnalité dont il faut vous soucier c’est de savoir si le chiffrement peut être brisé ou si l'application que vous utilisez vous empêche de révéler accidentellement des informations.
Une autre raison est que la surveillance pourrait porter atteinte à la liberté collective et publique dans une démocratie en enlevant le contrôle de la sphère publique aux citoyens. Si c'est votre principal souci, d'autres critères deviendront également importants. Bien entendu, vous serez toujours soucieux de la qualité du chiffrement, mais vous vous soucierez également de savoir si l'application de messagerie que vous utilisez réellement permet aux gens ordinaires de reprendre le contrôle sur leurs interactions avec les autres.
Source : blog Open Whisper Systems, blog Matrix, blog Riot, New York Times
Et vous ?
Qu'en pensez-vous ? Quelle est, selon-vous, l'application mobile qui vous semble la plus sécurisée ? Sur quels critères vous basez vous ?