Dans ce guide, vous découvrirez les bases de Signal – Private Messenger. Je vous guiderai à travers les éléments fondamentaux de Signal, tels que la création de compte, ses fonctionnalités, et vous expliquerai pourquoi cette application de messagerie est recommandée pour ceux qui tiennent à leur vie privée.
L’application Signal est une plateforme de messagerie cryptée avec plus de 40 millions d’utilisateurs actifs par mois. Elle peut être utilisée sur les appareils mobiles et les ordinateurs de bureau, mettant l’accent principalement sur la sécurité de la plateforme et la confidentialité de ses utilisateurs.
Son protocole de communication repose sur une sécurité renforcée et un chiffrement de bout en bout. Ses origines remontent à TextSecure et RedPhone.
Il s’agissait d’applications Android de 2010, initialement développées par un groupe appelé Open Whispers Systems, organisé par Moxie Marlinspike et Stuart Anderson.
Cette organisation a commencé le développement du protocole Signal en fusionnant les deux applications, ce qui a conduit à la création de la plateforme Signal, sortie initialement en 2014.
Signal est actuellement géré par la Signal Technology Foundation, une organisation indépendante et à but non lucratif fondée par Moxie Marlinspike d’Open Whispers Systems et Brian Acton, l’un des co-fondateurs de WhatsApp.
L’entreprise est basée en Californie et possède Signal Messenger LLC comme filiale. Son modèle économique repose sur une politique sans publicité et sans suivi, et est financé par des investissements privés, des subventions et des dons.
L’article décrit les bases de Signal, comme la création de compte et ses fonctionnalités, et pourquoi c’est un choix incontournable pour ceux qui tiennent à leur vie privée.
Signal utilise le protocole Signal pour son chiffrement et ne stocke pas le contenu des messages dans le cloud.
La plateforme propose des fonctionnalités telles que la communication chiffrée, un système de demande de message, une altération des métadonnées intégrée pour les pièces jointes, des messages éphémères, un système d’expéditeur scellé, et les codes PIN Signal.
L’article aborde également les questions juridiques et de protection des données et comment soutenir Signal par des dons.
L’application Signal est disponible pour mobile avec des versions Android et iOS. L’utilisateur peut accéder à la plateforme via le logiciel de bureau pour Windows, Mac et Linux, mais il doit d’abord se connecter sur une application mobile pour créer un compte. Pour s’identifier, Signal demande un numéro de téléphone lors de l’inscription.
Le profil utilisateur est chiffré de bout en bout, tout comme les messages, les appels vocaux et vidéo.
Les options de profil comme le nom, le statut et les photos sont également chiffrées et uniquement visibles par les contacts directs, les utilisateurs avec qui une conversation a été acceptée, ou les personnes dans le même groupe. Cela offre à l’utilisateur des options pour empêcher les tiers d’accéder à ce type d’informations sans consentement.
Les utilisateurs peuvent interagir avec les autres via le chat, qui propose un chiffrement de bout en bout par défaut. Parmi ses nombreuses fonctionnalités liées à la vie privée, il est possible de définir une minuterie pour que les messages soient automatiquement supprimés.
L’utilisateur peut utiliser un seul appareil mobile à la fois mais peut lier jusqu’à cinq autres appareils sur le même compte. Le contenu des applications de bureau est synchronisé avec le téléphone mobile et doit être lié à celui-ci.
Signal se distingue des applications de messagerie les plus populaires car ses fonctionnalités sont principalement axées sur la confidentialité et la sécurité de ses utilisateurs. La plateforme inclut :
Le chiffrement de bout en bout par défaut et non en option. Ceci est réalisé grâce au Protocole Signal et n’enregistre pas le contenu des messages dans le cloud. De ce fait, les versions desktop doivent être liées aux téléphones, et la société ne peut fournir le contenu des communications ni à des tiers ni même aux gouvernements.
Aucune publicité ni suivi, dans le sens où aucun programme n’utilise les données et métadonnées des utilisateurs pour en tirer profit, car son modèle économique repose sur des dons et des financements privés.
Communication chiffrée offrant de nombreuses façons d’interagir avec d’autres utilisateurs, permettant ainsi de partager textes, messages vocaux, photos, vidéos, GIFs, autocollants et fichiers gratuitement. Les appels vocaux et vidéo sont également disponibles, même depuis différentes plateformes.
Un système de demande de message, dans lequel, lorsqu’une personne qui n’est pas un contact tente d’interagir avec l’utilisateur via Signal, l’application affiche certaines informations à son sujet afin que l’utilisateur puisse accepter, supprimer ou bloquer l’interaction. Concernant les chats vidéo et vocaux, Signal a pour politique de prévenir le spam et les abus, et ne fait sonner le téléphone que si une demande de cet appelant a été approuvée au préalable.
Modification intégrée des métadonnées pour les pièces jointes par défaut, car les applications Signal suppriment ce type d’informations des photos avant de les envoyer à d’autres utilisateurs. Ainsi, des informations comme la localisation, les informations sur l’appareil, l’heure et la date de la photo ne sont plus accessibles au destinataire du fichier.
Messages éphémères, où l’utilisateur peut définir une minuterie, donc lorsque cette option est active, tout contenu dans la conversation démarre avec un compte à rebours d’auto-destruction par défaut, ajoutant ainsi une couche supplémentaire de sécurité pour la confidentialité. Ceci peut être configuré pour créer même des autocollants éphémères.
Un système d’expéditeur scellé qui réduit considérablement la quantité d’informations disponibles pour le service concernant les métadonnées de l’expéditeur, comme la localisation, le profil, etc., et qui ne sont donc pas stockées sur les serveurs de Signal.
Ceci n’est possible que lorsque l’expéditeur possède l’identification du destinataire ; lorsque deux utilisateurs ont partagé leurs profils, cela est activé par défaut.
L’utilisateur peut également activer cette fonction pour quiconque possède son identification, il est donc possible d’avoir une ligne de communication plus sécurisée pour les sources anonymes en tant qu’expéditeurs scellés. Ceci peut être modifié dans le menu des paramètres.
Les codes PIN Signal, basés sur le système de récupération de valeur sécurisée dans le cloud qui peut enregistrer des données comme votre profil, vos paramètres, les utilisateurs bloqués et d’autres configurations, accessibles uniquement via le code qui doit comporter au moins quatre chiffres et peut être alphanumérique.
Bien qu’étant basé sur la technologie cloud, Signal n’a pas accès à cette clé.
Au niveau de sa sécurité, l’application utilise le Protocole Signal conçu par Open Whispers Systems.
Ce protocole fonctionne avec des clés à long terme, moyen terme et temporaires qui sont générées en fonction des interactions entre deux utilisateurs de manière à ce que chaque nouveau message contienne également des clés éphémères utilisées pour le chiffrement et le déchiffrement des messages futurs.
WhatsApp, Facebook Messenger, Skype et plusieurs autres applications utilisent ce même protocole dans leurs plateformes de chiffrement.
Une telle technologie offre aux utilisateurs un haut niveau de sécurité concernant l’interception des messages, utilisés par les journalistes, les activistes et les enquêteurs pour protéger l’identité de leurs sources.
Concernant les Conditions d’Utilisation de Signal, l’utilisateur doit avoir au moins 13 ans pour utiliser la plateforme et doit accepter de recevoir des codes de vérification pour créer son compte.
Signal s’engage à ne pas vendre, louer ou monétiser les données personnelles, et n’est pas responsable des frais et taxes liés à l’accès à Internet.
Les utilisateurs ne doivent pas violer les droits de Signal, des utilisateurs, ni les droits de propriété intellectuelle, et ne doivent pas utiliser d’applications de messagerie en masse ou automatique dans des activités liées au spam.
La politique de confidentialité contient les explications sur le chiffrement, les catégories de données et les droits des utilisateurs s’y rapportant. Quant au partage des données avec des tiers, la politique stipule que cela est possible tant qu’il y a des obligations légales, des violations des conditions de service, une fraude ou un préjudice contre autrui.
En ce qui concerne la réponse aux demandes gouvernementales, Signal a deux registres publics de telles requêtes. En 2016, un jury du district est de la Virginie a émis une assignation demandant des informations sur deux utilisateurs de Signal.
Étant donné que la plateforme ne stocke pas d’informations sur ses utilisateurs ni le contenu de leurs interactions, le groupe n’a pu fournir à la Justice que les horodatages de la création de chaque compte et de la dernière connexion à Signal.
Un autre conflit légal récent concernant Signal et ses fonctionnalités de chiffrement est survenu en 2021 avec une assignation du district central de Californie, où le bureau du procureur des États-Unis a demandé des informations sur le nom d’utilisateur, l’adresse, la date de création du compte, la dernière activité en ligne et le contenu des messages de six comptes.
En réponse, les avocats de Signal ont soutenu que la fondation ne pouvait se conformer qu’à la date de création du compte et à la dernière connexion avec les serveurs, car ce sont les seules catégories d’informations que Signal conserve.
Ainsi, dans les deux cas, le service n’a pu fournir aux autorités que ces deux catégories d’informations, rien sur les profils d’utilisateur ou le contenu des messages.
C’est parce que la plateforme a été conçue de manière à ce que le profil soit protégé par un chiffrement de bout en bout avec les systèmes PIN et d’expéditeurs scellés.
Le contenu des messages n’est pas accessible à Signal lui-même, car le protocole fonctionne avec des clés à long terme, moyen terme et éphémères. Il ne permet pas même à la Fondation Signal d’accéder à ces contenus sans les clés de chiffrement appropriées.
À ce titre, la plateforme garde une trace de ces demandes sur son site web, s’engageant à divulguer toute information que les gouvernements ou les agences légales exigent.
Jusqu’à présent, seuls ces deux cas ont été publiquement divulgués par la plateforme, avec presque le même type de demandes et la même réponse affirmant que la plateforme a été conçue de manière à ce qu’il soit impossible de divulguer des informations qui ne sont pas accessibles sur les serveurs du service.
Depuis avril 2021, Signal a annoncé la première version bêta publique pour sa fonction de paiement intégrée à l’application.
Actuellement, la seule cryptomonnaie prise en charge est MOB de MobileCoin, qui utilise une structure anonyme basée sur la blockchain. Pas besoin de compte bancaire pour effectuer cette transaction.
Comme Signal fonctionne sur une politique basée sur la vie privée, l’entreprise n’a pas accès aux expéditeurs, aux destinataires, aux montants des transactions ou aux messages liés aux paiements.
Pour l’instant, cette fonction n’est accessible que sur la version bêta de Signal sur Android et iOS pour les résidents du Royaume-Uni qui ne sont pas des citoyens américains, en raison de raisons légales liées aux cryptomonnaies.
Pour effectuer un paiement, une fois les conditions remplies, l’utilisateur doit sélectionner l’option Paiements dans le menu Paramètres et choisir un contact. Ensuite, l’application demande un montant et présente deux écrans de confirmation avant de finaliser la transaction.
Une fois le bouton de confirmation de paiement pressé, l’utilisateur ne peut annuler cette action ou le paiement.
L’utilisateur peut aussi transférer un échange vers une autre application. MobileCoin perçoit les frais de transaction, et chaque code pays du numéro de téléphone de l’utilisateur dispose de sa propre monnaie qui peut être échangée selon les taux de Fixer.io et les conversions du marché FTX.
Signal repose sur une politique sans publicité, et les utilisateurs n’ont pas à payer pour accéder au service. Ainsi, l’organisation repose sur un modèle d’investissement et de don auquel l’utilisateur final peut contribuer.
De cette manière, l’équipe de Signal offre aux utilisateurs deux types de dons : le don en dollars via Donorbox qui est taxé mais peut être déduit des impôts aux États-Unis. L’autre est le don anonyme en cryptomonnaie via Giving Block, en utilisant Bitcoin, Ethereum et d’autres monnaies.
Une autre façon d’aider Signal financièrement est via un lien Amazon qui permet à Amazon de donner 0,5% de l’achat à la fondation Signal. La fondation propose également diverses formes de soutien direct et de collaboration de sa communauté.
Les aspects de localisation et de traduction de l’application sont entièrement ouverts à la collaboration du public. Jusqu’à présent, les applications mobiles ont été localisées dans plus de 130 langues et le centre de support dans plus de 60.
Pour ceux intéressés par des contributions plus techniques, il existe des problèmes ouverts dans le répertoire GitHub de la plateforme où des développeurs expérimentés peuvent aider avec les codes.