WhatsApp, Signal et les rabats-joie de la protection de la vie privée

J’ouvre l’année 2021 avec un billet d’humeur en lien avec la polémique autour de WhatsApp et de la bascule qui est en train de s’opérer au profit de l’application Signal.

Cela fait des années que j’utilise mes petits bras musclés pour sensibiliser à la protection des données personnelles et aider les personnes qui le souhaitent à passer le cap pour apprendre à utiliser des outils qui aident à protéger notre intimité. Bien évidemment, je ne suis pas le seul et d’autres le font avec plus de force et de succès que moi. Qu’ils en soient remerciés.

Les révélations de Snowden en 2013 ont provoqué un électrochoc au sein de l’opinion public en rendant concret ce qu’on savait tous plus ou moins. Les Etats pratiquent la surveillance de leur population depuis des années. Ces révélations ont choqué  mais ne se sont pas traduites par un changement en profondeur des pratiques. Les GAFAMs ne se sont jamais aussi bien portés qu’au cours de ces dernières années, il suffit de constater le niveau de capitalisation boursière des ces entreprises. Presque 8 ans après les révélations du lanceur d’alerte, autant d’années d’actions d’associations de défense des libertés numériques, une cohorte de lois liberticides votées au grès des circonstances et du contexte terroriste, il aura fallu attendre une banale modification des Conditions Générales d’Utilisation de WhatsApp et un tweet de l’homme actuellement le plus riche du monde pour que la prise de conscience que notre vie privée est précieuse se traduise en actes.

L’application Signal apparaît dans le top des classements des applis téléchargées dans certains pays. Après avoir passé une année 2020 désastreuse en matière de protection de la vie privée reléguée à l’arrière-plan en raison du confinement, du télétravail et de l’utilisation massive d’outils de visio peu respectueux de nos données personnelles, c’est probablement la première bonne nouvelle de l’année 2021. Nous avons de quoi nous réjouir que des personnes décident de changer de crémerie. La force des GAFAMs et leur capacité à nous enfermer dans leurs prisons dorées reposent sur l’effet de réseau. Pendant très longtemps ce phénomène nous a contraint à rester dans écosystèmes toxiques dont le modèle économique est construit sur celui du capitalisme de surveillance. Tout simplement parce que notre réseau social est présent sur Facebook ou WhatsApp. Etre prêt à se déconnecter de ses proches, de ses amis et des personnes avec lesquelles on est prêt à partager d’une façon ou d’une autre notre intimité, demande une force de conviction que tout le monde n’a pas. Et c’est d’ailleurs à ce moment précis que l’argument imbécile « De toute façon, je n’ai rien à cacher » intervient et termine de convaincre une majorité de personnes de continuer à utiliser les services des GAFAMs.

Or les choses sont en train de changer depuis cette semaine. Je suis sûr que comme moi, vous avez fait l’expérience autour de vous de gens qui se sont mis à vous en parler, à vous dire qu’ils avaient installé Signal. Vous vous retrouvez désormais à discuter avec une partie de vos contacts sur cette appli. Et c’est très bien !

Mais ! Parce qu’il y a toujours un mais. Au lieu de prendre le temps de se réjouir de cette situation et d’apprécier que les efforts de sensibilisation fournis depuis des années commencent à payer, il y a des personnes qui sont malheureusement dans la critique en disant que c’est bien mais pas suffisant. Parmi les critiques, on peut retrouver :

  • les maximalistes : Ceux-là critiquent le fait que les personnes utilisent désormais Signal mais continuent aussi à se servir de Google, du navigateur Chrome, de Gmail ou d’Outlook…. ;
  • les juristes : l’organisation qui est derrière Signal est américaine et par extension soumise au Cloud Act ;
  • les techos : Signal repose sur une architecture centralisée ;
  • les techos bis : Signal nécessite de fournir son numéro de téléphone pour fonctionner ;
  • les cryptos : Ok Signal intègre le chiffrement de bout-en-bout mais laisse des traces avec les métadonnées…

Evidemment qu’aucune solution n’est parfaite. Si vous tenez à protéger intégralement votre vie privée, n’utilisez aucun service connecté à Internet ! Si vous n’êtes pas prêt à vivre comme un ermite, vous pouvez déjà vous rassurer avec les éléments suivants :

  • L’application Signal est gérée par une fondation à but non lucrative. Elle n’aura pas à céder à la pression des actionnaires qui chercheraient à optimiser les coûts et obtenir une rentabilité et un taux de croissance à deux chiffres;
  • L’intégralité de l’application est open source et par conséquent auditable. La transparence assumée est la seule garantie qu’il n’y a pas de porte dérobée ou de cochonneries qui trahirait le message et la confiance affichés par Signal ;
  • Le protocole de chiffrement utilisé par Signal est réputé pour être robuste. (Cet argument ne sera peut-être plus valable d’ici 2, 5 ou 10 ans. Si ça se trouve, la NSA ou une autre agence de renseignement a déjà identifié une faille et est en train d’exploiter cette vulnérabilité dans son coin. Mais c’est le principe d’une faille 0-day, on ne sait pas qu’elle existe tant qu’elle n’a pas été divulguée) ;
  • Signal travaille à réduire les traces laissées par les métadonnées, qui sont des éléments bien plus compromettants que le contenu d’un message ;
  • C’est une application qui est recommandée par Snowden, mais ça c’est pas nouveau ;-).

Comme le revendique une célèbre association, la route est longue mais la voie est libre. C’est important qu’il y ait une avant-garde éclairée qui pointe les lacunes ou les limites de tel outil mais elle doit veiller à ne pas se couper des masses qui décident de changer ses pratiques pour continuer à être audible et éviter de rester dans un entre-soi élitiste. Imaginez le degré de « disruption » que cela représente pour la plupart de passer de WhatsApp à Signal. Imaginez la force, la patience, l’énergie que ça va demander à beaucoup de gens d’expliquer à tonton Roger ou tata Suzanne comment fonctionne Signal et qui leur diront « Mais c’est pareil que l’autre, pourquoi changer ?! »

Alors oui, la situation n’est pas totalement parfaite. Mais c’est un changement mineur dont on peut se féliciter et espérer qu’il en produise d’autres. La protection de la vie privée en ligne nécessite d’apprendre à apprendre. Il va falloir abandonner des habitudes et des outils qui sont devenus notre quotidien au fil des années. Au-delà de la question des pratiques, il faut aussi se poser collectivement le coût de la vie privée. L’évolution commerciale du web nous a fait croire que les services pouvaient être gratuits et cette illusion est fortement responsable de la situation dans laquelle on se trouve actuellement. Notre intimité et notre vie privée ont un coût. Sommes-nous à prêts à le payer ?

11 commentaires à propos de “WhatsApp, Signal et les rabats-joie de la protection de la vie privée”

      • Bonjour,

        pour un commentaire rapide à ce sujet, Olvid ne semble pas avoir sa place dans cette liste, car elle n’est pas libre (ni client ni serveur). Elle n’est même pas spécialement open source, ce qui d’un point de vue sécurité, semble un clou tout prévu pour en fermer le cercueil.

        Pour avoir feuilleté sur le sujet des applications sécurisées depuis quelques mois, leur modèle de sécurité qui ne fait pas confiance au serveur semble fort intéressant. Plus précisément, il considère le serveur comme un potentiel espion cherchant à extraire ce qu’il peut des données qui lui sont accessibles mais se comportant tout de même honnêtement dans la mise en œuvre du service, ce qui n’est pas tout à fait aussi contraignant que de considérer le serveur comme compromis.

        Mais au sujet de l’ouverture du code, la justification avancée est que l’équipe de développement veut pouvoir « auditer sereinement les pull requests » (modèle de contributions Github donc, visiblement), ce qui est également louable mais original. À ma connaissance rien n’oblige à accepter une requête, donc elles pourraient bien dormir dans le dépôt pendant des années si personne ne parvient à les valider, et rare sont les projets open source dont le problème est de crouler sous les contributions au point de ne pouvoir les lire.

        En terme d’écosystème de sécurité, leur pari semble de s’adosser aux institutions françaises et à d’autres entreprises de confiance (certification selon protocole ANSSI, application iOS donc implicitement confiance mise dans Apple pour la distribution et l’environnement), et dans ce cadre leur système de cryptographie présente bien.

        Pour une note plus générale, merci pour votre blog de la part d’un néobibliothécaire qui y lit avec intérêt.

        • Bonjour,

          Merci pour votre commentaire, je suis content de savoir que mon blog vous intéresse et bienvenue dans ce drôle de monde des bibliothèques 😉
          Certes Olvid n’est pas open source mais ils envisagent d’ouvrir leur code « À ce jour, le code d’Olvid n’est pas Open Source. Mais ce n’est qu’une question de temps. Nous franchirons ce pas lorsque l’équipe de développement d’Olvid sera en mesure d’auditer sereinement l’ensemble des requêtes de modifications« . Ils sont également dans une démarche de transparence en mettant à disposition le rapport technique d’évaluation. Tout repose sur la confiance qu’on est prêt à accorder à un tiers.

  1. Je ne suis pas tout a fait d’accord avec ta phrase « Si vous tenez à protéger intégralement votre vie privée, n’utilisez aucun service connecté à Internet ».
    S’il n’y avait que cela ça se saurait. Il a bien évidement tout ton environnement qui traque et balance ta vie privé… environnement que tu as malheureusement que aucun moyen d’éviter.

    En bref, ta phrase serait plutôt « Si vous tenez à protéger intégralement votre vie privée, vivez seul(e) au fond d’une grotte au fin fond d’un pays très peu civilisé ». 🙂

  2. … et comme rien n’est gratuit, si tu (je parle aux lecteurs et lectrices) utilises signal, n’hésite pas à faire un don.

    – le mieux c’est un don mensuel
    – déjà 3€/mois c’est bien (rappelle-toi le colibri 😉 )

    (et je n’ai rien à voir avec signal, je fais mon petit don à quelques services que j’utilise)

    • Ça fait une belle liste d’applis ! Mais comme tu le dis ce n’est pas toujours évident de migrer vers un autre service. La plus grande difficulté à mon sens est de réussir à convaincre son entourage. C’est une barrière plus difficile que la technique. Par chance, on assiste à transhumance, profitons-en 😉

  3. Rétroliens : Khrys’presso du lundi 18 janvier 2021 – Framablog

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*