«Signal ne sait toujours rien sur vous, mais le gouvernement continue inexplicablement de demander», s’insurge la messagerie chiffrée dans deux billets publiés sur son site les 27 et 28 octobre 2021. Ces communiqués révèlent deux requêtes des autorités californiennes visant l’entreprise : un mandat de perquisition qui exige un ensemble d’informations sur un utilisateur dans une affaire d’homicide, et une citation à comparaître au tribunal. Ce qui porte à quatre le nombre de demandes des autorités américaines à l’entreprise depuis 2016.
Dans ces deux derniers cas, la réponse de l’entreprise est laconique : les rares informations stockées par l’entreprise seraient l’horodatage de la création du compte et de sa dernière connexion. Les seules données, sans valeur, que l’entreprise aurait donc transmises, d’après les documents joints dans les deux billets.
Les seules informations transmises par Signal aux autorités : des données de connexion sans intérêt
Un identifiant est toutefois caviardé dans le document. Peut-être le numéro de téléphone de l’utilisateur, que demande Signal au moment de créer son compte (rappelons toutefois qu’il est possible de créer un compte Signal sans utiliser son numéro de téléphone personnel).
Signal est catégorique, et veut être clair sur les données stockées : pas de nom d’utilisateur, d’adresse, de message, de contact, de groupe ou encore d’historique d’appel en sa possession. L’entreprise vante sa confidentialité, et veut le faire savoir. En toile de fond, on décèle le précédent Protonmail. La messagerie chiffrée suisse a bâti son succès sur une promesse de confidentialité, mais a été massivement critiquée pour avoir transmis les adresses IP de militants français du collectif «Youth for climate» à la police française.
Signal et les adresses IP : la grande inconnue
Les documents transmis par Signal confirment, de prime abord, les garanties de sécurité vantées par l’entreprise. Principalement un chiffrement de bout en bout par défaut qui permet de protéger vos échanges, sans que l’entreprise ne puisse y accéder, même quand comme ici les autorités le lui demandent.
Signal n’évoque en revanche pas explicitement le traitement des adresses IP de ses utilisateurs. Ces suites de chiffres sont les numéros d’identification attribués de façon permanente ou provisoire à chaque utilisateur de services connectés à Internet, et constituent une donnée personnelle qui peut servir à identifier un individu.
Les documents partagés par Signal laissent entendre que l’entreprise n’enregistre pas ces adresses, mais les communiqués ne le mentionnent pas explicitement. Baptiste Robert est chercheur en cybersécurité : «Ça ne me choque pas, c’est complètement plausible qu’ils ne stockent pas les adresses IP. Mais ça ne veut pas dire qu’entre temps, elles ne sont pas passées à une autre entité», réagit-il auprès de Numerama.
Une entité comme, par exemple, un sous-traitant qui héberge ses serveurs. Des articles du blog interne de Signal montrent que des services de la messagerie ont au moins été partiellement hébergés par des entreprises comme Google et Amazon. Dans quelles conditions, et avec quelles garanties ces données sont aujourd’hui hébergées? Interrogé sur le sujet, Signal n’a pas encore répondu aux sollicitations de Cyberguerre.
Des limites avérées face aux autorités et aux logiciels espions
Une autre limite de Signal, qui ne fait aucun doute, est la capacité de certaines forces de polices comme le FBI à lire les messages de l’application à partir d’un accès physique à un téléphone, même verrouillé. Comme le révélait Forbes à partir de documents judiciaires extraient d’une affaire de trafic d’armes, le FBI peut réussir à accéder aux messages et aux des métadonnées de Signal contenus dans des iPhone verrouillés. Et ce, grâce à des outils d’exploitation spécialisés comme GrayKey, suspecté d’avoir été utilisé dans le cas en question.
Les logiciels espions ne sont pas à laisser de côté non plus. Les révélations sur le logiciel israélien Pegasus de l’entreprise NSO montrent aussi qu’à partir du moment où un smartphone est infecté par un malware espion de ce type, il n’est pas impossible d’accéder à des discussions menées sur Signal. Même chiffrées.
De là à dire que Signal est une messagerie mal sécurisée? Non. Cette dernière offre des garanties plus élevées que la plupart de ses concurrents comme WhatsApp ou même Telegram. Mais connaître les limites de cette messagerie est essentiel pour pouvoir en tenir compte et efficacement protéger ses échanges en bonne conscience.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
