Comment utiliser les messages cryptés dans Signal

Photo of author
Écrit par Mallory Lebel

Se sentir libre de concilier "vie privée" et "vie numérique" sans intrusion.

Ma page Facebook

La meilleure application de messagerie cryptée de bout en bout (SIGNAL) comporte une foule de fonctions de sécurité. Voici celles dont vous devriez vous préoccuper.


DES GEEKS ET DES LETTRES a longtemps encouragé les lecteurs à utiliser Signal. Nous vous proposons ici des conseils pour en tirer le meilleur parti.

Pourquoi les gens se tournent souvent vers l’application de messagerie cryptée Signal

  • Pour protéger des conversations sensibles surveillées par les forces de l’ordre en période de troubles sociaux
  • Pour se prémunir contre la possibilité que l’Europe ferme une application populaire comme WeChat
  • Signal représente le meilleur moyen pour la plupart des gens de communiquer en toute sécurité

Et grâce en partie à une injection de 50 millions de dollars de l’ancien PDG de WhatsApp, Brian Acton, il y a plus de deux ans, l’ancienne application de niche est plus accessible que jamais.

En 2020, alors que les manifestations contre la brutalité policière balayaient les villes américaines, les téléchargements quotidiens de Signal ont presque triplé leur moyenne.

Au mois d’août 2020, les téléchargements de Signal dans les boutiques d’applications chinoises ont augmenté de 90 %, à l’approche de la répression de WeChat.

Que fait le chiffrement de bout en bout de Signal ?

Tous ces utilisateurs peuvent profiter du chiffrement de bout en bout de Signal, ce qui signifie que personne – ni le gouvernement, ni leur compagnie de téléphone, ni Signal lui-même – ne peut lire le contenu des messages lorsqu’ils passent d’un appareil à l’autre.

Le chiffrement des messages assure la confidentialité des données de bout en bout.

Pour un schéma qui illustre son fonctionnement, voir ci-dessous.

Chiffrement symétrique
Chiffrement symétrique

Un message est chiffré juste avant de quitter le processus d’origine, et reste chiffré jusqu’à ce qu’il soit reçu par le processus de destination finale.

Il est opaque à tous les points de transit intermédiaires (y compris les files d’attente de messages du système d’exploitation, les processus système et les files d’attente sur disque) et pendant la transmission sur les liaisons réseau inter-serveurs.

Signal n’est pas la seule application de messagerie cryptée de bout en bout ; iMessage en est dotée, tout comme des applications autonomes comme Telegram.

Mais Signal se distingue par la richesse de ses fonctionnalités et par le fait que son code est open source depuis des années, ce qui signifie que les cryptographes ont eu de nombreuses occasions de l’explorer et de lui trouver des failles.

Soyez conscient des limites de vos messageries en temps réel

Pour ceux qui sont novices en matière de messagerie cryptée, la chose la plus importante à retenir est que ce n’est pas de la magie.

Avoir Signal sur votre téléphone ne vous rend pas invincible.

Flèche double bas

A noter :

Surtout, n’oubliez pas que si vous envoyez des messages à quelqu’un qui n’a pas Signal installé, rien n’est crypté. Cela ne fonctionne que pour les communications Signal-vers-Signal.

Et assurez-vous d’avoir un mot de passe sûr sur votre téléphone en premier lieu, car toute personne ayant un accès physique à votre appareil peut toujours lire vos messages.

Pour envoyer un message crypté, Signal dispose également d’une application de bureau, qui devrait être suffisamment sécurisée pour la grande majorité des gens ; sachez simplement que les environnements de bureau sont confrontés à une litanie de menaces.

L’utilisation de Signal sur plusieurs appareils signifie que vos messages peuvent être compromis ou volés dans un plus grand nombre d’endroits.

Installer Signal private messenger
Installer Signal private messenger

Comment installer Signal proprement

Signal vous demande de fournir un numéro de téléphone lorsque vous vous inscrivez, qui sert essentiellement de nom d’utilisateur. Cela ne signifie pas pour autant que vous devez utiliser votre numéro de téléphone réel.

Pour éviter de le donner, utilisez plutôt un numéro Google Voice. Google Voice ne fonctionnant qu’aux Etats-Unis, pensez à installer ce VPN pour simuler votre appartenance aux Etats-Unis via une autre adresse IP.

  • Pour ce faire, rendez-vous sur Google Voice dans votre navigateur
  • Connectez-vous avec un compte Google
  • Sélectionnez un nouveau numéro de téléphone
  • Google vous demandera de le vérifier en fournissant votre numéro de téléphone réel
  • Il vous enverra un code qui vous permettra de compléter votre inscription
  • Vous pouvez maintenant utiliser ce numéro Google Voice pour votre compte Signal, en le gardant séparé de votre ligne principale

Vous pouvez laisser Signal accéder aux contacts de votre appareil. En effet, Signal stocke ces informations sur votre téléphone, et non dans le nuage.

L’application envoie périodiquement des numéros de téléphone tronqués et hachés aux serveurs de Signal, ce qui lui permet de vérifier si l’un de vos contacts l’utilise également, mais Signal dit aussi qu’il rejette cette information « immédiatement ». De cette façon, l’application peut vous alerter lorsqu’un de vos contacts s’inscrit à Signal.

Si vous préférez ne pas recevoir ces mises à jour  :

  • Appuyez sur l’icône de votre profil
  • Sur Paramètres
  • Sur Notifications
  • Désactivez la fonction Contact rejoint Signal
Signal demande un numéro de téléphone à l'installation
Signal demande un numéro de téléphone à l’installation

Comment faire de Signal votre application de messagerie par défaut sur Android

  • Allez dans Paramètres
  • Applications et notifications
  • Avancé
  • Applications par défaut
  • Application SMS
  • Choisissez Signal

Rappelez-vous que tout le monde ne l’a pas installé et qu’un utilisateur d’iOS à qui vous envoyez un SMS peut vérifier son application Signal moins souvent qu’iMessage.

→ iOS ne vous permet toujours pas de changer l’application de messagerie par défaut, désolé !

Signal a récemment introduit des codes PIN de profil

Ces codes PIN de profil vous permettent de conserver plus facilement les données de votre compte même lorsque vous transférez des appareils.

Vous pouvez en définir un lorsque vous vous inscrivez, ou aller dans la rubrique Vie privée > Signaler le code PIN dans les paramètres de votre application pour définir ou modifier le vôtre à tout moment.

L’introduction des codes PIN a été controversée par les partisans de la cryptographie, qui se sont demandés si la récupération de valeur sécurisée (Secure Value Recovery) à laquelle ils étaient liés n’introduisait pas des vulnérabilités potentielles.

Le fait que Signal les ait d’abord rendus obligatoires n’a pas aidé non plus.

Comment supprimer la fronction « Code PIN » sur Signal

  • Allez sur l’écran Créer un code PIN
  • Appuyez sur Sélectionner plus
  • Cliquez sur Désactiver le code PIN

N’oubliez pas que si vous le faites, vous ne pourrez pas amener vos contacts avec vous sur un nouvel appareil.

Threema : concurrent de Signal
Threema : concurrent de Signal

Comment utiliser Signal au quotidien avec sécurité

Protégez votre écran de téléphone

Il est important de s’assurer que ce qui se passe dans Signal reste dans Signal.

Cela signifie qu’il faut empêcher les gens de voir vos message cryptés depuis un écran verrouillé ou lorsque vous changez d’application. Il n’y a pas beaucoup d’intérêt à avoir une application pour les messages sensibles s’ils s’affichent sur votre écran dès que vous en recevez un.

Pour désactiver les notifications de verrouillage de l’écran Signal sur iOS

  • Allez dans Paramètres
  • Notifications
  • Faites défiler vers le bas
  • Cliquez sur Signal > Afficher les aperçus > Jamais

Sur Android, le processus est similaire

  • À partir de votre écran d’accueil, allez dans Paramètres
  • Apps & Notifications
  • Vous pourrez désactiver toutes les notifications

Si vous avez besoin d’un contrôle plus granulaire, vous pouvez le trouver dans l’application Signal elle-même, où les étapes sont les mêmes quelle que soit la plateforme sur laquelle vous vous trouvez.

  • Touchez votre profil
  • puis Notifications
  • puis Afficher
  • Vous pourrez choisir d’afficher le nom, le contenu et les actions pour un texte entrant, ou juste le nom, ou rien du tout
  • Vous pourrez également mettre en sourdine les notifications d’une conversation spécifique pendant une durée déterminée en appuyant sur un fil de discussion, puis sur l’en-tête du contact, et enfin sur Mettre en sourdine
  • Vous pourrez mettre en sourdine les notifications d’un contact pendant une heure, un jour, une semaine ou un an
Code de vérification Signal
Code de vérification Signal

Signal dispose d’une fonction de verrouillage de l’écran

Ce verrouillage de l’écran nécessite votre mot de passe – ou votre FaceID ou TouchID, quel que soit le moyen utilisé pour accéder à votre téléphone – pour visualiser le contenu de l’application.

  • Dans l’application Signal, quelle que soit la plateforme, appuyez sur votre profil
  • puis sur Confidentialité
  • puis activez l’option de verrouillage de l’écran

Android vous offre un peu plus de granularité, avec une option de délai d’inactivité du verrouillage de l’écran qui vous permet de régler la fonction pour qu’elle s’active après un certain temps.

Vous pouvez activer la fonction de sécurité de l’écran

La fonction de sécurité de l’écran empêche le contenu du signal d’apparaître dans votre commutateur d’application sur Android et iOS.

Sur Android, cela empêche également les captures d’écran des activités et messages cryptés de Signal sur votre propre appareil, mais pas pour celui à qui vous envoyez des messages.

Comment faire disparaître les messages sur Signal

Vous pouvez toujours supprimer manuellement des messages en cours de route, mais cette action ne s’applique qu’à votre propre téléphone.

Les personnes avec lesquelles vous discutez l’ont toujours sur leur appareil.

Pour que la conversation soit effacée aux deux extrémités d’un fil de discussion, vous devriez plutôt opter pour des « messages qui disparaissent » au bout d’un certain temps.

Signal - message disparaît
Signal – message disparaît

Comment créer des messages éphémères sur Signal

Il n’y a pas moyen de créer des messages qui disparaissent de manière universelle sur Signal ; vous devez le faire séparément pour chaque contact.

Pensez à créer et enregistrer vos mots de passe dans une application chiffrée !

Cette application compatible avec tous vos appareils vous permet de créer des mots de passe uniques avec une complexité ahurissante et les remplit sur les sites à votre place.
Le gestionnaire NordPASS

Les étapes sont fondamentalement les mêmes que vous soyez sur iOS ou Android.

  • Dans un chat, tapez sur le nom de votre contact.
  • Sélectionnez les messages qui disparaissent.
  • Définissez la durée pendant laquelle vous souhaitez qu’ils soient en ligne avant la disparition, de cinq secondes à une semaine.
  • Une icône de minuterie apparaîtra dans votre fil de discussion ; l’un ou l’autre des correspondants peut modifier le temps de disparition en tapant dessus et en l’ajustant si nécessaire.
  • C’est de cette manière que vous pouvez désactiver les messages qui disparaissent.

C’est une fonction pratique, mais qui vous rappelle rapidement que les gens peuvent toujours filmer vos conversations pour en garder une trace, alors ne supposez pas qu’elles sont perdues à jamais – surtout si vous ne faites pas confiance à la personne qui se trouve à l’autre bout du fil.

Signal : messages éphémères
Signal : messages éphémères

Comment passer un appel crypté sur Signal

Signal n’est pas seulement destiné aux messages ; vous pouvez également passer des appels cryptés de bout en bout à partir de l’application.

  • Cliquez sur l’icône du crayon dans l’application comme pour lancer une conversation.
  • Choisissez un contact.
  • Sur Android, vous verrez un choix entre une icône de téléphone et une icône vidéo dans le coin supérieur droit pour passer un appel au lieu de taper.
  • Sur iOS, appuyez sur l’icône du téléphone, puis sur l’icône de la caméra pour afficher la vidéo de votre côté de l’appel.

Une note importante à ce sujet

  • Si vous passez des appels à partir de Signal sur iOS, assurez-vous d’abord de vous rendre dans la section Vie privée de l’application et de désactiver l’option Afficher les appels récents.
  • Sinon, votre historique d’appels Signal se synchronisera avec iCloud, créant un enregistrement inutile de votre conversation.
  • Et si vous êtes très prudent, allez dans Paramètres > Confidentialité et activez l’option Toujours relayer les appels. Cela acheminera vos appels à travers les serveurs de Signal et cachera votre adresse IP dans le processus.

Comment envoyer et brouiller des photos et des vidéos avec Signal

Comme pour les autres applications de messagerie, vous pouvez utiliser Signal pour envoyer des photos et des vidéos. Mais Signal a récemment investi dans quelques fonctionnalités médiatiques respectueuses de la vie privée qui le distinguent.

Tout d’abord, si vous prenez une photo à partir de Signal – il suffit de toucher l’icône de l’appareil photo dans votre liste de contacts ou dans un chat – elle n’est pas automatiquement enregistrée dans votre bibliothèque d’appareil photo, ce qui signifie qu’elle n’est pas sauvegardée dans votre photothèque en ligne.

C’est très bien ainsi ! Moins vous risquez de laisser une trace accidentelle, mieux c’est.

Si vous souhaitez conserver une image pour la postérité, vous pouvez toucher l’icône de sauvegarde dans le coin supérieur droit. Sinon, il suffit de l’envoyer et de passer à autre chose.

Vous pouvez également vous assurer que votre photo et votre vidéo ne restent pas longtemps sur l’appareil du destinataire

  • Avant d’appuyer sur envoyer, notez l’icône de l’infini à côté de la bulle de chat.
  • Elle signifie que le média que vous allez partager pourra être visualisé indéfiniment.
  • Si vous appuyez une fois dessus, la photo ou la vidéo disparaîtra de la conversation dès qu’elle aura été visionnée.
  • Un enregistrement restera dans le fil, mais l’image elle-même ne sera plus visible.

Signal a également ajouté une nouvelle fonction de flou à son appareil photo intégré à l’application.

Touchez l’icône en forme de damier circulaire en haut de l’écran de votre appareil photo Signal

Il floutera automatiquement tous les visages qu’il détecte sur la photo.

Vous pouvez également ajuster manuellement si l’application se trompe.

Fonctions supplémentaires

Cette liste n’est pas exhaustive à 100 %. Certaines caractéristiques sont trop mineures pour être mentionnées, d’autres sont destinées à des cas d’utilisation de niche.

Mais il y a quelques autres astuces qui pourraient être utiles à connaître lorsque vous vous habituerez à utiliser Signal.

Cessez d’afficher les reçus de vos messages cryptés

Les gens y tiennent beaucoup ! Si vous êtes l’un d’entre eux, allez dans Paramètres > Vie privée et désactivez-les lorsque vous êtes dans l’application.

Signal : message bien délivré
Signal : message bien délivré

Autocollants

Dans le cadre de sa quête à long terme pour trouver un large attrait, Signal a récemment ajouté une sélection limitée d’autocollants pour animer vos chats secrets.

Il suffit d’appuyer sur l’icône de l’autocollant dans la fenêtre de composition du chat pour parcourir vos options.

Emoji

De même, Signal a finalement élargi ses options de réaction aux émojis en juin 2020.

Plutôt que de se contenter de sept choix de base, l’application a élargi la palette à une gamme complète de visages, d’animaux, de nourriture, de bâtiments et, oui, de caca souriant.

Pour ajouter une réaction, il suffit de maintenir la réponse enfoncée, puis de taper sur les trois points horizontaux pour accéder au clavier complet.

Blocage de conversations

Bloquez ! Bloquez ! Bloquez !

Pour mettre fin à des conversations indésirables, vous pouvez soit taper sur le nom dans une conversation et basculer sur Bloquer cet utilisateur, soit le faire de manière préventive en cliquant sur l’icône de votre profil, puis sur Vie privée > Bloqué > Ajouter un utilisateur bloqué et sélectionner la personne dont vous ne voulez pas entendre parler.

Demandes de messages

Depuis août 2020, vous pouvez approuver ou bloquer d’autres utilisateurs de Signal lorsqu’ils vous contactent pour la première fois, sans qu’ils sachent que vous avez vu leur message ou appel entrant.

Si vous bloquez quelqu’un, il n’aura aucune autre indication que de rester dans les limbes. Cette fonction empêche également les étrangers de vous ajouter aux discussions de groupe, une tactique très répandue chez les spammeurs.

Elle est similaire à ce que vous avez probablement déjà expérimenté dans les messages directs de Facebook Messenger ou Twitter, et sera de plus en plus utile à mesure que la base d’utilisateurs de Signal s’élargira.

Type privé

Sur Android, les applications de clavier tierces peuvent conserver une trace de ce que vous tapez et balayez ; ce qui n’est pas idéal lorsque vous essayez d’envoyer des messages privés.

Dans la section « Privacy« , vous pouvez basculer sur « Incognito Keyboard » pour les garder dans l’ignorance.

Verdict

Toutes ces fonctions devraient suffire pour vous aider à démarrer avec Signal et envoyer un message crypté.

Rappelez-vous simplement, lorsque vous vous serez habitué aux paramètres avancés et que vous aurez déterminé quelle combinaison de messages disparaissant et de verrouillage d’écran vous convient le mieux, que vous avez déjà franchi l’étape la plus importante de toutes : le téléchargement de Signal en premier lieu.


Le chiffrement de bout en bout

Qu’est-ce que le chiffrement ?

Le chiffrement est un moyen d’obscurcir les données. Tout site web dont l’URL contient le protocole https utilise le protocole SSL (Secure Socket Layer) pour sécuriser les données que vous envoyez lorsqu’elles passent de votre ordinateur au serveur du site.

Le protocole SSL permet à votre ordinateur de garantir que les données qu’il envoie et reçoit d’un serveur utilisant le protocole SSL sont cryptées.

La quasi totalité des sites web que vous visitez régulièrement sont équipés du protocole SSL pour protéger les utilisateurs contre le vol de leurs mots de passe.

Il en va de même pour les données de courrier électronique : L’envoi d’un courrier électronique sur un réseau crypté implique le brouillage du contenu en texte clair, de sorte qu’il est impossible de le lire sans la clé de chiffrement, qui fonctionne comme un mot de passe.

Crypter / décrypter
Crypter / décrypter

Le chiffrement moderne

Le chiffrement moderne fait un si bon travail qu’il faudrait un million d’ordinateurs fonctionnant pendant seize millions d’années pour le déchiffrer.

Cependant, les services non axés sur la sécurité comme Gmail et Hotmail ne cryptent que les données lorsqu’elles passent de votre ordinateur à leurs serveurs. De l’autre côté, elles peuvent être lues en clair.

Regardons les choses en face : La consultation de vidéos en ligne est une affaire individuelle et privée

Le problème, c'est que votre Fournisseur d'Accès Internet a accès à votre historique internet.
Sans compter que certains accès aux sites web sont limités dans plusieurs pays.
Récemment, les utilisateurs ont réalisé à quel point il est important de rester anonyme lorsqu'ils surfent sur internet.

La meilleure option est d'acheter un service VPN

NordVPN, logiciel et application VPN, comprend un DOUBLE CHIFFREMENT de votre trafic internet.
Il permet de contourner la censure et d'anonymiser votre connexion.
En savoir plus sur NordVPN

Les utilisateurs doivent donc avoir confiance en ces organisations et espérer qu’elles n’utiliseront pas leurs clés de chiffrement pour lire votre courrier électronique, ou que les clés ne tomberont pas entre les mains de pirates informatiques.

Lorsque vous chargez votre boîte de réception à partir d’un service de courrier électronique crypté de bout en bout, elle doit d’abord recevoir une clé privée unique à votre compte. À moins que vous ne cryptiez manuellement vos courriers électroniques, ce processus se déroule en arrière-plan.

Le chiffrement est un problème difficile à résoudre pour les informaticiens et sa mise en œuvre peut nécessiter beaucoup de ressources. Ce n’est que ces dernières années que le chiffrement de bout en bout est devenu la norme grâce aux facteurs suivants :

Ce qui a déclenché la mode du chiffrement

  • des applications de messagerie comme WhatsApp
  • la paranoïa accrue du public
  • des incidents comme les fuites de la NSA par Snowden, qui ont révélé l’étendue de la surveillance étatique dans le monde

On s’est rendu compte que même les systèmes de Google n’étaient pas à l’abri des regards indiscrets.

Flèche bleue vers le bas

Voici par quelle manipulation la NSA parvenait à contourner le chiffrement SSL et lire les données des utilisateurs en texte clair (ce document a fuité)

la NSA parvenait à contourner le chiffrement SSL et lire les données des utilisateurs en texte clair

Agrandir l’image

Edward Snowden : nous sommes tous surveillés

Sur cette diapositive tirée d’une présentation PowerPoint de la NSA publiée par Edward Snowden (source), un smiley indique à quel point l’agence était satisfaite de son intrusion dans le système de sécurité de Google…

Quoi que vous pensiez d’Edward Snowden, une chose est claire : Snowden est un geek plutôt astucieux. La preuve est la façon dont il a abordé sa mission de dénonciation. Ayant conclu (comme plusieurs autres employés de l’Agence de sécurité nationale avant lui) que la NSA avait outrepassé son mandat, il a identifié des cas flagrants d’abus de l’agence et, pour chaque catégorie, a téléchargé des preuves à l’appui de sa conjecture.

D’où l’avantage du chiffrement : Si un service de messagerie électronique utilisant un chiffrement de bout en bout est contraint par les autorités à transmettre ses données, ces données seront inutiles sans la clé de chiffrement.

Edward Snowden en 2020

Edward Snowden en 2020

 

L’authentification à deux facteurs

L’authentification à deux facteurs ajoute une couche de sécurité supplémentaire à vos comptes. Elle rend le processus de piratage plus difficile, reposant sur deux choses :

  • Votre nom d’utilisateur et un mot de passe
  • Votre téléphone portable ou une clé de sauvegarde

Les mots de passe sont régulièrement piratés, divulgués et utilisés pour compromettre les comptes des victimes. La probabilité qu’un pirate informatique ait accès à la fois à votre mot de passe et à votre téléphone ou à une sauvegarde physique est beaucoup plus faible.

L’authentification à deux facteurs est mise en œuvre de nombreuses manières différentes, mais la plus courante est l’utilisation d’un jeton unique. Lorsque vous appuyez sur l’application Google pour vous connecter à partir d’un nouvel ordinateur, vous envoyez au serveur un jeton unique qui ne peut être utilisé qu’une seule fois.

Il en va de même pour l’obtention d’un code par SMS pour se connecter à Twitter.

Authentification à deux facteurs

Open source

Les logiciels libres, comme le système d’exploitation Android et le navigateur Firefox, sont des logiciels qui mettent leur code source à la disposition des utilisateurs, des développeurs et de la communauté pour qu’ils puissent les inspecter et les améliorer.

Quel est le rapport entre le code source et la sécurité ?

Lorsque vous utilisez un service de courrier électronique comme Outlook, vous faîtes confiance au fait que les développeurs de Microsoft sont de bonne foi en n’ajoutant pas de fonctions anti-utilisateurs au logiciel.

Un tel acte de foi n’est pas nécessaire si le logiciel est open source. Les projets open source sont développés en toute transparence car c’est ainsi qu’ils se développent et s’améliorent. Les bugs sont rendus publics et les grands projets sont armés de milliers de débogueurs dédiés.

L’emplacement du serveur

L’emplacement du serveur n’était pas une considération importante avant qu’il ne soit révélé au grand public que l’Australie, la Grande-Bretagne, le Canada, la Nouvelle-Zélande et les États-Unis coopèrent pour partager leurs données de renseignement sur les citoyens.

Cette révélation a été faite sous Lavabit, le service de messagerie électronique suspendu un temps, et utilisé par Edward Snowden pour communiquer avec les militants des droits de l’homme depuis ses bureaux à Moscou.

Durant la fermeture temporaire forcée de Lavabit, le fondateur du service de courrier électronique avait affiché ce message sur la page d’accueil du site :

« Cette expérience m’a appris une leçon très importante : sans action du Congrès ni précédent judiciaire solide, je déconseille vivement à quiconque de confier ses données privées à une société ayant des liens physiques avec les États-Unis. »

Serveurs
Serveurs

Les États-Unis sont dotés des lois anti-usagers dans ce domaine.

Parmi les pays dont les lois sur la protection de la vie privée sont favorables, citons la Suisse, l’Allemagne, la Belgique, la Norvège et la Suède.

L’intérêt du chiffrement en vidéo (ici l’explication sur iPhone)

Maquillez votre adresse IP

⇒ Être anonyme sur internet

Nordvpn bannière maquiller votre adresse ip

0 réflexion au sujet de « Comment utiliser les messages cryptés dans Signal »

Laisser un commentaire