Messageries sécurisées, mais sauvegardes exposées : tour d’horizon des failles de chiffrement chez Signal, WhatsApp, iMessage et Google Messages.
Nos messageries sont chiffrées, mais nos sauvegardes le sont-elles aussi ? Tour d’horizon des pratiques des principales applications.
Les applications de messagerie chiffrée promettent une confidentialité renforcée, mais les sauvegardes peuvent tout compromettre. Décodage des failles et bonnes pratiques, à partir d’une analyse référencée ci-dessous et publiée par l’Electronic Frontier Foundation (EFF), une organisation reconnue pour sa défense des libertés numériques et de la vie privée en ligne.
Le chiffrement de bout en bout ne suffit pas toujours
Plus de 90 % des conversations échangées sur Signal, WhatsApp, iMessage ou Google Messages reposent sur un chiffrement de bout en bout (E2EE). Ce modèle garantit que seuls l’émetteur et le destinataire peuvent lire les messages. Ni Meta, ni Apple, ni Google, ni même Signal n’y ont accès.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Mais cette sécurité ne vaut que pour les messages en transit. Dès qu’une sauvegarde est générée – sur iCloud, Google Drive ou un autre support – les protections peuvent s’effondrer. Le contenu devient alors accessible à l’hébergeur, voire aux autorités sur réquisition. Ce point, souvent négligé, représente une faille critique.
Signal : priorité à la confidentialité, quitte à perdre des données
Signal reste l’application la plus radicale en matière de confidentialité. Elle n’offre aucun système de sauvegarde vers le cloud. Même si l’utilisateur active la sauvegarde iCloud de son iPhone, les messages Signal n’y seront pas inclus.
Seule option proposée : un export manuel sous forme de fichier local chiffré, à transférer manuellement entre appareils. Conséquence : en cas de perte ou de vol du téléphone, les messages sont définitivement perdus. Un choix assumé par Signal, qui refuse tout compromis sur la confidentialité des utilisateurs.
WhatsApp : un chiffrement optionnel à activer
WhatsApp autorise les sauvegardes dans le cloud – sur Google Drive (Android) ou iCloud (iOS). Par défaut, celles-ci ne sont pas chiffrées de bout en bout. Les contenus deviennent ainsi lisibles pour les opérateurs de cloud et potentiellement exploitables par des tiers.
Cependant, WhatsApp propose désormais un chiffrement E2EE pour les sauvegardes. L’activation nécessite la création d’un mot de passe ou la conservation d’une clé de 64 chiffres. Une bonne protection… à condition de l’activer manuellement.
Apple iMessage : chiffrement en progrès, mais pas universel
Les messages échangés entre appareils Apple via iMessage sont bien chiffrés de bout en bout. Toutefois, les sauvegardes iCloud n’étaient pas couvertes par ce chiffrement – un point de vulnérabilité longtemps critiqué.
Depuis l’introduction de la fonctionnalité « Advanced Data Protection », les utilisateurs peuvent activer le chiffrement de bout en bout pour l’ensemble de leurs données iCloud, y compris les messages. Cette fonction est toutefois désactivée au Royaume-Uni, où des exigences gouvernementales ont conduit Apple à la retirer localement.
Google Messages : des progrès en attente de généralisation
Comme Apple, Google chiffre les messages échangés entre utilisateurs de Google Messages, mais uniquement si le cadenas s’affiche dans l’interface. En parallèle, les sauvegardes peuvent être stockées dans un compte Google, avec un chiffrement activé si un mot de passe d’écran est défini.
Une option de chiffrement des sauvegardes directement dans l’application est en test depuis plusieurs mois, mais pas encore disponible pour tous. Un déploiement complet permettrait de renforcer significativement la sécurité globale.
Les sauvegardes : un angle mort de la cybersécurité individuelle
Même avec des outils sécurisés, les pratiques des utilisateurs et de leurs contacts comptent. Sauvegarder une conversation sur un cloud non chiffré revient à contourner toutes les protections initiales.
Certaines applications comme WhatsApp et Signal permettent d’activer des messages éphémères. Cela permet de fixer une durée de conservation (7 jours, 1 mois, etc.). Attention toutefois : si un message est encore présent au moment de la sauvegarde, il sera inclus, même s’il disparaît ensuite.
Enfin, il est essentiel de se demander si chaque conversation mérite d’être sauvegardée. Les souvenirs sont précieux, mais faut-il vraiment les stocker à tout prix ? La meilleure défense reste une approche sobre, combinée à des options de chiffrement activées par défaut.
Pour en savoir plus
Comment Signal, WhatsApp, Apple et Google gèrent les sauvegardes de chat chiffrées
Les applications de chat chiffrées comme Signal et WhatsApp sont l’un des meilleurs moyens de préserver la confidentialité de vos conversations numériques. Mais si vous ne faites pas attention à la façon dont ces conversations sont sauvegardées, vous risquez de compromettre votre confidentialité par inadvertance.
(Re)découvrez également:
Voici les données disséminées par WhatsApp, Signal, Telegram, Threema, …
Toutes les applications de messagerie ne sont pas toutes aussi sécurisées qu’elles voudraient le faire croire. En effet, certaines d’entre elles
Chiffrement de bout en bout : quel équilibre entre vie privée et sécurité sur Signal et WhatsApp ?
La technologie de client-side scanning pourrait aider à détecter des activités criminelles sur Signal et WhatsApp, mais elle soulève des préoccupations aujourd’hui.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
