La messagerie instantanée Signal est-elle "compromise", comme Elon Musk l’affirme ?

Corentin Béchade
13 mai 2024 à 09h16
18
L'application Signal est sous le feu des critiques © DANIEL CONSTANTE / Shutterstock
L'application Signal est sous le feu des critiques © DANIEL CONSTANTE / Shutterstock

Mini polémique dans le milieu du chiffrement. Elon Musk a affirmé que l’application de messagerie Signal, connue pour ses outils de protection de la vie privée, avait des « failles » qui la rendait dangereuse.

Signal serait-elle moins sécurisée que l’application le prétend ? C’est en tout cas ce que semble penser Elon Musk qui a publié un message sur son réseau social X pour affirmer que le service de messagerie instantanée avait des « failles connues » et jamais corrigées. De quoi jeter le doute sur l’intégrité de l’application bien connue, surtout que le message du milliardaire faisait suite à la publication d’un article accusant à demi-mot la fondation Signal (qui édite le logiciel) de collaborer avec les services de l’état américain.

Quelques jours plus tard, c’est Pavel Durov, le PDG de l’application concurrente Telegram, qui se permettait de mettre en doute la sécurité de Signal. Dans un message publié sur son application, le responsable explique que les choix techniques faits par la structure derrière Signal ne permettent pas de s’assurer de la réelle confidentialité des messages échangés sur la plateforme. Mais alors, qu’en est-il vraiment ?

Elon Musk contredit par la communauté

Signal, en plus d’être une application de messagerie instantanée, est aussi un protocole de chiffrement à part entière. Open source, il est utilisé dans de nombreux autres logiciels, dont WhatsApp et Skype. De par sa nature ouverte, l’algorithme a été audité par bon nombre de spécialistes en chiffrement qui n’ont, d’après un audit effectué en janvier 2024, pas trouvé les fameuses « failles » mentionnées par Elon Musk. La sécurité de Signal a d’ailleurs longtemps été saluée par des grands noms du numérique comme Edward Snowden… et Elon Musk en 2021. La Commission européenne a aussi adopté Signal pour protéger ses communications depuis 2020.

Ces faits ont d’ailleurs été rappelés par Meredith Whittaker, PDG de Signal qui, dans un long message en réponse à Musk, explique que « une large communauté de chercheurs et chercheuses en cybersécurité examine attentivement chaque mise à jour et passe au peigne fin chacun de nos fichiers » pour justement s’assurer qu’aucun bout de code malveillant ne s’est glissé dedans. Ce contexte a d’ailleurs été rappelé sous le message d’Elon Musk via les fameuses « Notes de la communauté ».

Les "compilations reproductibles", preuves bancales

Les doutes émis par le PDG de Telegram sont eux d’une autre nature et plus précis : il s’attaque à la question des « compilations reproductibles » de Signal. Principe important de sécurité, ce concept pose l’idée qu’en compilant soi-même le code d’une application open source on devrait obtenir exactement la même signature cryptographique que celle publiée par l’éditeur lui-même. Une manière de s’assurer qu’aucun bout de code n’a été injecté au moment de mettre l’application en ligne.

Signal peut désormais résister aux attaques quantiques, mais qu'est-ce donc ?
A découvrir
Signal peut désormais résister aux attaques quantiques, mais qu'est-ce donc ?
28 sept. 2023 à 11:00
News

Pavel Durov explique donc que, contrairement à Telegram, Signal ne permet pas de faire des compilations reproductibles sur son appli iOS. Preuve que Signal aurait quelque chose à cacher. La réalité est pourtant plus compliquée que ça. En raison de la manière dont Apple publie ses applications sur son AppStore (chacune passant par un processus de chiffrement), il est impossible de comparer les signatures d’une application téléchargée et d’une application compilée en local. Sur Android, Signal passe sans problème l’épreuve des compilations reproductibles en revanche.

Ce n’est pas la première fois que Signal est sous le feu des critiques pour des supposés défauts de conception ou de sécurisation de son service. En décembre dernier, c’était le gouvernement français lui-même qui laissait planer le doute sur ce sujet en faisant la promotion de son application Olvid. Mais jusqu’ici, aucune preuve d’un quelconque défaut de sécurité de Signal n’a jamais été apportée.

Signal
Télécharger
Signal
  • Riche en fonctionnalités
  • Open source
  • Sécurisée

Signal est une application de messagerie instantanée unique, offrant un chiffrement de bout en bout pour protéger les messages échangés sur sa plateforme. Préférée par les utilisateurs soucieux de préserver leur vie privée et d'éviter l'exploitation de leurs données, elle est totalement gratuite et sans publicité. Disponible sur Android, iOS, ainsi que sur PC (Windows, Mac et Linux), Signal peut être utilisée de manière complémentaire sur différents appareils pour une communication sécurisée et respectueuse de la confidentialité.

Signal est une application de messagerie instantanée unique, offrant un chiffrement de bout en bout pour protéger les messages échangés sur sa plateforme. Préférée par les utilisateurs soucieux de préserver leur vie privée et d'éviter l'exploitation de leurs données, elle est totalement gratuite et sans publicité. Disponible sur Android, iOS, ainsi que sur PC (Windows, Mac et Linux), Signal peut être utilisée de manière complémentaire sur différents appareils pour une communication sécurisée et respectueuse de la confidentialité.

Source : Elon Musk - X

Corentin Béchade

Corentin Béchade

Journaliste depuis quasiment 10 ans, j’ai écumé le secteur de la tech et du numérique depuis mes tout premiers chapôs. Bidouilleur (beaucoup), libriste (un peu), j’ai développé une spécialisation sur...

Lire d'autres articles

Journaliste depuis quasiment 10 ans, j’ai écumé le secteur de la tech et du numérique depuis mes tout premiers chapôs. Bidouilleur (beaucoup), libriste (un peu), j’ai développé une spécialisation sur les thèmes de l’écologie et du numérique ainsi que sur la protection de la vie privée. Le week-end je torture des Raspberry Pi à grands coups de commandes 'sudo' pour me détendre.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (18)

OliverS
Ah ah, Melon encore en train de tirer sur un concurrent (même si Signal n’est un pas un concurrent frontal à la poubelle X) pour essayer de ramener du monde dans on bastion de complotistes, et d’extrémistes de tous bords car sa plateforme se vide…
charcotp
Donc on a d’un coté:<br /> Elon le génie interplanétaire (je ne peux l’appeler Melon par respect pour les cucurbitacées) qui affirme dans le vide, comme maintenant 99% de ses déclarations. Associé à lui, on a une appli concurrente qui par défaut ne chiffre pas ses messages et qui se permet des remarques. Cette application n’est pas open source, est basé sur des serveurs centralisés. La seule liberté que permet Télégram, c’est pour les médias de réinformation alternative russes (tien, comme X d’ailleurs).<br /> en face, Signal, opensource, audité, chiffrée de bout en bout et pourtant pas privilégiée par ces médias pseudo alternatif russe. Si je devais me poser des questions, ce serait bien sur Télégram et pas sur Signal.<br />
yool
Si c’est gratuit, c’est vous le produit. Il y a des backdoor de partout, il faut bien qu’il se finance. Dans notre famille nous utilisons Threema, qui est payant, de suisse et utilisé par l’armée suisse également, qui doit avoir probablement aussi avoir des backdoor, de toute façon, pour être vraiment anonyme et incognito et préserver sa vie privée, faut juste arrêter d’utiliser le net et application associées…
Baxter_X
Tu as des sources pour appuyer tes propos ?<br /> Parce que avec le code rendu publique je ne vois pas trop comment il pourrait il y a voir des portes dérobées sans que personne ne s’en soit aperçu…
ccvman
Tous collaborent avec les services secrets américains, WhatsApp, signal, protonmail…<br /> S’ils ne collaborent pas, ils peuvent être poursuivi pour complicité.<br /> Ils ne le disent pas ou ont comme argument de vente que les messages sont chiffrés et donc illisibles, c’est totalement FAUX !!!
Blap
Encore une fois des sources… Signal et protonmail ne collaborent absolument pas, et il me semble avoir vu que les gouvernements râlaient aussi sur whatsapp car c’était une boîte noire si le chiffrement était activé de bout en bout (ils utilisent le protocole signal)
philouze
Signal a des serveurs centraux et des noeuds qui ne sont pas nécessaire pour Olvid, qui du coup se situerait un cran au dessus niveau sécu pour les paranoïaques ou pour les journalistes, hommes d’états, messageries intra forces armées etc
clubic_er
on a eu le cas récemment de XZ pourtant opensource XZ Utils : la backdoor faisant trembler le monde libre et de la cybersécurité - Trackflaw | Expert en sécurité informatique. (premier résultat google au pif)<br /> donc fondamentalement le fait qu’un code soit public ne protège en rien
clubic_er
Personnellement je n’aime pas du tout olvid non que le concept ne soit pas séduisant<br /> Simplement la façon dont ils communiquent n’inspire nullement confiance:<br /> exemple : ils ont annoncé en grande pompe «&nbsp;olvid devient opensource&nbsp;» avec bien sûr greenwashing sur les pages wikipedias qui vont bien.<br /> Dans les faits c’est simplement la partie cliente (appli ios et Android ) qui est opensource la partie serveur ne l’est pas. (donc dans les fait on est pas bcp mieux que telegram )<br /> partant de là, s’ils font de telles approximations , on peut aussi s’interroger si tout est aussi net qu’il le disent
jyti94
Si je ne me trompe, olvid n’est pas open-source donc si je suis complotiste, Darmanin eut pu y placer une porte dérobée ; )<br /> De là à dire que signal est un cran au dessus, je n’en sais rien mébon…<br /> Et pour rappel, l’état français soutient microsoft et office qui ne sont pas particulièrement fiable côté sécurité et qui sont présents dans tous le tissu économique français et européen alors que l’Europe devrait pousser GNU/Linux.<br /> On a encore une bonne marge de progression.
Baxter_X
Attention, je n’ai jamais dit que ça protégeait ! Mais que cela mettait en évidence toute tentative de modification du code en vue d’y placer des portes dérobées !<br /> C’est ça que je dis.
Blap
Ca n’a strictement rien a voir avec Signal. Il ne dit pas que c’est impossible d’avoir une backdoor dans un programme open-source, juste qu’avec tous les audits et vu comment Signal est scruté de partout, par ses fans et ses détracteurs, c’est quelque chose qui est plus compliqué.<br /> D’ailleurs il n’y avait aucun problème dans le code de XZ suits non plus car la backdoor était uniquement présente dans la release (et la backdoor n’a jamais été en production). Si XZ suits n’avait pas été open source la backdoor aurait été beaucoup plus dure a trouver en plus (Threema n’est pas totalement open-source)<br /> Signal est une association a but non lucratif qui fonctionne aux dons de multitude de gens et organisations. C’est très similaire a Wikipedia comme fonctionnement.
Rainforce
J’utilise la version bi-fluoré, qui résout tous ces problèmes.
Baxter_X
Sinon, pour les sources on attend toujours. Mais j’ai comme l’impression qu’il va falloir etre patient…
Baxter_X
Moi la tri-fluoré, j’ai poussé le truc encore plus loin.
bmustang
des jaloux qui cherchent à avoir la peau de signal à qui je fais entière confiance au contraire des autres qui sont douteux
dFxed
Merci pour l’article intéressant, bien qu’encore une fois apportant du crédit a la poubelle extrémiste (on ne démontre pas qu’un idiot est stupide en le reprenant sur chacune de ses phrases, c’est donner du crédit a sa parole, et c’est tout aussi stupide).<br /> Bref, attristé de lire de plus en plus des commentaires au doigt mouillé par des types n’ayant pas le début d’un argument ou d’une preuve. Merci a ceux qui luttent.<br /> De la à dire que Clubic mérite le public qu’il attire a coup de titres appateurs…
dFxed
Avant de balancer que signal est gratuit, renseignez vous.<br /> Signal est une ong a but non lucratif, financée par des dons, provenant de personnes bien réelles (moi par exemple).<br /> Et puisque vous estimez qu’une backdoor permet de recevoir des financements, on peut sans faillir en déduire que n’importe quel objet possède un nombre de backdoor totalement stupide, au point d’en ruiner les vilains états et les vilaines entreprises obscures qui les exploitent.<br /> Faites attention, on pourrait envoyer votre voiture dans le décors après avoir pris connaissance de ce message !<br /> Stupidité complotiste irrationnelle, quand tu nous tiens…
Baxter_X
Je ne pense pas qu’il s’agisse d’extrémisme mais tout simplement d’ignorance.<br /> Et le fait d’être derrière un clavier encourage cette ignorance et des raccourcis de pensée.
philouze
C’est pas faux
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Connaissez-vous Olvid, l’application que le gouvernement va adopter pour remplacer WhatsApp, Telegram et Signal ? Connaissez-vous Olvid, l’application que le gouvernement va adopter pour remplacer WhatsApp, Telegram et Signal ?
Un Gaulois contre les GAFAM : mais pourquoi Olvid, le Un Gaulois contre les GAFAM : mais pourquoi Olvid, le "WhatsApp des ministres", fait exception et peut avoir des serveurs chez... Amazon ?
WhatsApp détaille ses plans pour devenir l’app de messagerie ultime WhatsApp détaille ses plans pour devenir l’app de messagerie ultime
Apple renforce le chiffrement d'iMessage, qui vous protégera des attaques quantiques Apple renforce le chiffrement d'iMessage, qui vous protégera des attaques quantiques