L’application reste encore un petit poucet face à WhatsApp, qui totalisait le mois dernier 45 millions de téléchargements à travers le monde sur Google Play, contre 3 millions pour Signal. Mais elle grappille régulièrement de nouveau utilisateurs.
“Il y a eu des bonds au cours du temps, explique Jean-Michel Dricot, professeur en cybersécurité à l’Ecole polytechnique de Bruxelles (ULB), essentiellement à l’occasion de la publication d’informations relatives à des atteintes à la vie privée de la part d’autres messageries, ou à la collecte de données. Par exemple, quand WhatsApp a changé, il y a quelques années, ses conditions de collecte des données, on a vu un bond dans les utilisateurs de Signal.”
Signal, une application « très sécurisée » : cela veut dire quoi ?
D’abord, c’est une messagerie cryptée de bout en bout. « Quand nous communiquons, vous et moi, la clef de chiffrement n’existe que pour vous et moi, et pour personne d’autre, résume le professeur en Cybersécurité. L’ensemble de la communication est chiffré entre le moment où ça part de mon téléphone et où ça arrive sur le vôtre, il n’y a pas de possibilité d’interception par un tiers.” Même Signal ne peut pas lire le contenu des messages.
Je ne vois pas d’autres messageries qui possèdent le même niveau de sécurité
Ensuite, Signal est totalement décentralisé « et c’est ce qui fait sa force ». Autrement dit, son fonctionnement ne dépend pas d’un serveur central qui pourrait enregistrer les métadonnées : qui est en train de parler avec qui, pendant combien de temps, etc.
« La troisième chose importante, c’est que le code derrière le cryptage est disponible publiquement, en open source.” Ce code source peut donc être observé par des spécialistes informatiques du monde entier. « Si par exemple, on dit que ce n’est pas centralisé, qu’on ne va pas collecter les données des utilisateurs, on peut vérifier dans le code source si c’est bien le cas.” Si une faille est détectée, elle pourra par ailleurs être corrigée assez rapidement.
WhatsApp, par contre, n’est pas en open source, personne n’est donc capable de vérifier les promesses de cette messagerie. Pour le spécialiste en cybersécurité, Signal est la meilleure option : « Je ne vois pas d’autres messageries qui possèdent le même niveau de sécurité.” Ni Telegram, ni une autre. Mais d’autres sont plus fluides, moins contraignantes.
Signal est-elle liée à un grand groupe, comme WhatsApp l’est avec Meta ?
Non, Signal n’est pas lié à une entreprise privée. C’est aussi ce qui fait sa force. « Les deux fondateurs ont lancé un forum avec un statut d’asbl, précise Jean-Michel Dricot. Signal n’est pas non plus lié à un gouvernement particulier, et elle fonctionne grâce à des dons, dans une grande transparence.”
Contrairement à Meta, Signal n’a donc pas vocation à collecter des données pour les revendre. « Il n’y a aucune logique commerciale. »
Le Signalgate remet-il en cause la fiabilité de Signal ?
Non, l’affaire qui concerne Pete Hegseth ne remet pas en question le niveau de sécurisation proposé par la messagerie. « C’est un cas classique, c’est une erreur humaine, il a créé un groupe et a inclus le journaliste par erreur.”
En décembre 2024, l’agence de cybersécurité américaine recommandait d’ailleurs le recours à Signal « aux personnes qui occupent des postes politiques de haut niveau ou des postes de haut niveau dans l’administration et qui sont susceptibles de détenir des informations d’intérêt”.
La Commission et le Parlement européen recommandaient aussi récemment le recours à Signal lorsque leurs outils habituels n’étaient pas disponibles.
Cela dit, ce n’est pas un outil qui peut servir à échanger des informations aussi sensibles. Si le contenu des communications est protégé entre les téléphones, ceux-ci peuvent être crackés, et les messages pourraient alors être lus.
« C’est un très bon outil de communication mais il n’offre pas une couverture de sécurité complète, insiste Jean-Michel Dricot. Pour ça, il faut utiliser un téléphone sécurisé. L’Union européenne (et la plupart des grands Etats) a une agence spécialisée qui fournit ce genre de matériel. Mais en pratique, c’est peu utilisé car très contraignant.”
Comment le Signalgate est-il vu depuis la Belgique ?
En Belgique, le patron du renseignement s’offusque de l’attitude du secrétaire américain à la Défense. « J’ai été particulièrement déçu de voir ce qui s’est passé », réagissait Stéphane Dutron, directeur du SGRS (Service Général du Renseignement et de Sécurité), lors d’une interview réalisée début avril à l’occasion de la sortie du rapport annuel du service. « J’espère que nous ne faisons pas la même chose chez nous. Nous savons très bien que l’utilisation des messageries, à défaut d’avoir autre chose, est utilisée dans des tas de cas, mais normalement pas pour du classifié à un tel niveau ! »
Le Belgian Secure Communications (BSC), une entité créée en 2021 pour développer une nouvelle plateforme de communication hautement sécurisée pour les membres des autorités et des services de sécurité belges a également réagi : « Trop souvent, des (hauts) fonctionnaires utilisent des applications de messagerie commerciales non sécurisées pour partager des informations sensibles.”
Et en Belgique, justement, comment fait-on ?
Le BSC a lancé, il y a un an, un système sécurisé destiné uniquement aux hauts responsables. Il s’agit d’un système fermé, doté d’appareils homologués (téléphones et ordinateurs) qui ne peuvent communiquer qu’entre eux. Il permet d’échanger des informations classifiées et des informations sensibles. 400 personnes ont été équipées d’un téléphone. Les ordinateurs commencent à être distribués.
« Le souci, c’est que les autres fonctionnaires fédéraux n’ont pas d’outil pour échanger des données sensibles”, nous explique une personne travaillant pour le BSC, qui doit garder l’anonymat pour des raisons de sécurité, justement.
C’est pourquoi le BSC prépare une nouvelle application de messagerie sécurisée qui devrait être accessible cette année. Les messages seront chiffrés, et les données seront conservées sous contrôle belge, dans des data centers situés en Belgique. « On essaie de développer une solution similaire à la France, au Luxembourg ou à l’Allemagne, pour que l’on puisse avoir la possibilité de communiquer avec eux à l’avenir. »
Le problème reste de convaincre de recourir à ces outils, plus sécurisés, mais aussi, du coup, plus contraignants. « Mais les événements récents nous donnent des arguments ! ». Un changement d’attitude a déjà été observé lors d’une récente mission officielle à l’étranger.
