Dans le monde connecté d’aujourd’hui, une partie importante de nos échanges personnels, professionnels ou sensibles s'effectue via des messageries électroniques. Or, la confidentialité de ces communications est très variable en fonction des protocoles utilisés.

Dans ce chapitre, nous allons tenter de comprendre les enjeux techniques et pratiques liés à l’utilisation des outils de communication numérique, afin de choisir et d’utiliser ceux qui assurent une réelle protection contre l’écoute et la surveillance.

Les SMS (Short Message Service) sont historiquement très populaires pour les échanges de textes, mais ils sont basés sur un protocole obsolète datant de la fin des années 1980. Ce protocole, intégré dans les standards GSM (Global System for Mobile communications), ne prévoit aucun mécanisme de chiffrement de bout en bout. En pratique, chaque SMS envoyé transite en clair sur les réseaux d’opérateurs mobiles (parfois chiffré uniquement sur l’interface radio, mais jamais de bout en bout). Cela signifie que le contenu du message peut être intercepté à plusieurs niveaux :

Le stockage des SMS sur des serveurs centraux des opérateurs, ainsi que la faiblesse du système d’authentification (le numéro de téléphone en tant qu’identifiant unique), rend les messages facilement usurpables et vulnérables aux attaques. Les SMS sont donc totalement inadapté pour transmettre des informations, que ce soit dans un cadre personnel, professionnel ou critique.

Ces limitations s’appliquent également aux MMS (Multimedia Messaging Service), qui repose sur les mêmes fondations techniques, avec en plus une exposition du contenu multimédia (photos, vidéos).

Depuis quelques années, certains opérateurs et constructeurs ont introduit RCS (Rich Communication Services), une évolution technique des SMS. RCS permet l’envoi de messages enrichis (images, vidéos, accusés de réception...) et intègre un chiffrement en transit (TLS), mais celui-ci reste dépendant des serveurs d’opérateurs et ne garantit pas le chiffrement de bout en bout dans tous les cas. De plus, la fragmentation de sa mise en œuvre entre opérateurs et constructeurs (par exemple entre Android et iOS) limite son adoption et sa fiabilité réelle.

Depuis 2021, Google Messages adopte le protocole Signal afin de garantir un chiffrement de bout en bout, mais cette fonctionnalité n’est accessible que si les deux interlocuteurs utilisent Google Messages.

En mars 2025, la GSM Association a publié l’Universal Profile 3.0 (UP 3.0), qui établit enfin un standard d’interopérabilité pour le chiffrement de bout en bout (E2EE) dans RCS. Ainsi, lorsque l’échange se fait via un client RCS compatible UP 3.0, le contenu devient illisible tant pour l’opérateur que pour un IMSI-catcher. Google et Apple ont d’ailleurs annoncé leur intention de prendre en charge cette technologie (reste à savoir si tout cela sera interopérable). Toutefois, si l’un des appareils n’est pas compatible RCS UP 3.0 ou en cas d’absence de connectivité IP, la communication bascule automatiquement vers les SMS classiques non chiffrés, ce qui rend l’interception triviale.

Du côté d’Apple, iMessage (lancé en 2011) propose un chiffrement de bout en bout natif entre utilisateurs Apple, mais ce protocole reste fermé et limité à l’écosystème iOS/macOS. Lors d’échanges avec des utilisateurs hors de cet écosystème, le message repasse par le protocole classique, et perd ainsi toute confidentialité. Le chiffrement peut également être rompu si vous ou votre interlocuteur sauvegardez vos messages dans iCloud sans l'option Advanced Data Protection.

En résumé, ni les SMS classiques, ni les MMS, ni même le RCS standard ne peuvent être considérés comme des solutions fiables et universelles pour préserver la confidentialité des échanges. Seules l’utilisation de Google Messages, iMessage ou du futur protocole RCS UP 3.0 garantissent une confidentialité satisfaisante, à condition que les deux interlocuteurs adoptent le même protocole de chiffrement. Et c’est précisément là que réside le principal écueil des SMS au sens large : cette application de messagerie préinstallée sur la majorité des téléphones regroupe des protocoles radicalement différents, et si votre interlocuteur ne prend en charge que le protocole SMS, votre message sera transmis en clair, sans forcément que vous ne vous en rendiez compte. C’est pourquoi, tant qu’un standard universel et rigoureux de chiffrement de bout en bout n’est pas mis en place, je vous déconseille fortement d’utiliser les messages classiques, car vous restez bien trop tributaire du choix de protocole de votre interlocuteur pour garantir votre propre sécurité.

Au lieu des SMS, je vous conseille plutôt d'utiliser des applications de messagerie dédiées qui utilisent un chiffrement de bout en bout robuste et transparent, qui permettent une communication réellement sécurisée et privée.

Face aux limites des SMS, plusieurs applications modernes ont émergé, avec pour certaines, un système de chiffrement de bout en bout. Je vous propose ici un panorama comparatif des principales applications disponibles actuellement, afin d’identifier celles qui correspondent le mieux à vos besoins en matière de sécurité et de confidentialité.

Signal est une application de messagerie instantanée conçue dès l’origine pour offrir une confidentialité et une sécurité maximale. Elle repose sur le Signal Protocol, qui assure un chiffrement de bout en bout systématique pour chaque message, appel vocal ou vidéo, ainsi que pour le partage de fichiers. Ce protocole est d’ailleurs réutilisé par de nombreux autres services de messagerie comme WhatsApp, Facebook Messenger, Skype ou encore Google Messages (dans ses implémentations RCS).

Techniquement, chaque conversation sous Signal est protégée grâce à un mécanisme de chiffrement asymétrique et éphémère : les clés de session sont négociées dynamiquement et détruites après utilisation, ce qui limite ainsi les risques de compromission. La transparence de l’application, dont le code est intégralement open source tant côté client que serveur, permet à tout expert ou chercheur en sécurité de vérifier son intégrité et le respect des standards cryptographiques annoncés.

Cependant, Signal présente un point faible sur le plan de l’anonymat : l’application exige la fourniture d’un numéro de téléphone valide pour l’enregistrement et l’identification des utilisateurs. Bien que ce numéro ne soit pas systématiquement visible par vos contacts (il peut être caché sous pseudo), cette exigence introduit une dépendance à l’infrastructure téléphonique, et donc une faille potentielle de traçabilité.

En résumé, Signal est une très bonne solution de messagerie, mais elle requiert hélas une connexion à partir d'un numéro de téléphone.

WhatsApp, propriété de Meta (ex-Facebook), utilise également le Signal Protocol pour son chiffrement de bout en bout. En théorie, vos conversations WhatsApp sont donc protégées efficacement contre l'interception. Cependant, ce n'est pas forcément la meilleure sur le plan de la confidentialité réelle : l’application collecte énormément de métadonnées (numéros, fréquence d’échanges, localisation approximative, contacts…), qui peuvent être exploitées commercialement par Meta à des fins publicitaires ou analytiques.

Aussi, le chiffrement appliqué par WathsApp ne peut pas être vérifié, car son code source est propriétaire. C’est pourquoi je ne recommande pas l’utilisation de WhatsApp dans un contexte où la confidentialité et la sécurité de vos échanges sont importantes.

Telegram est une messagerie très populaire grâce à son ergonomie et à ses fonctionnalités (canaux publics, bots, groupes importants...). Toutefois, sa sécurité est nettement plus limitée par défaut : seuls les "échanges secrets" bénéficient d’un chiffrement de bout en bout. Toutes les autres conversations (la majorité des échanges quotidiens des utilisateurs) sont stockées en clair sur les serveurs de Telegram.

Telegram peut ainsi accéder techniquement aux contenus de la majorité des conversations non protégées explicitement. Même si l'entreprise affiche une position ferme vis-à-vis des autorités gouvernementales, Telegram ne constitue pas une solution optimale pour les échanges confidentiels ou sensibles, sauf à utiliser explicitement ses "échanges secrets", nettement moins pratiques au quotidien.

Threema, lancée en 2012 en Suisse, se distingue de la plupart des autres messageries sécurisées par une approche centrée sur la confidentialité par design. Contrairement à Signal, WhatsApp ou Telegram, aucun numéro de téléphone n’est requis pour créer un compte. L’utilisateur se voit attribuer un identifiant aléatoire unique, ce qui permet une inscription entièrement anonyme et sans lien direct avec une identité réelle.

Techniquement, Threema propose un chiffrement de bout en bout sur l’ensemble des communications : messages, appels, fichiers, groupes, et les autres fonctionnalités. Depuis 2020, le code source des applications mobiles est open source, ce qui permet un audit indépendant. En revanche, l’infrastructure serveur reste propriétaire, bien que localisée exclusivement en Suisse, un pays dont la législation est favorable à la protection des données personnelles.

L’application est compatible avec Android et iOS, et propose également une interface web sécurisée, ainsi qu’un client natif pour Windows, Linux et macOS. Toutefois, l’activation initiale doit impérativement passer par un smartphone.

Un autre aspect important de Threema est son modèle économique : l’application est payante à l’achat (environ 5,99 €). Ce choix évite la dépendance à un modèle basé sur la collecte de données ou la publicité. Pour préserver l’anonymat lors de l’achat, des clés d’activation peuvent être achetées en bitcoins ou en cash directement sur le Threema Shop pour Android.

Cette solution de messagerie est excellente selon moi, mais son principal inconvénient réside dans le fait que le code source de ses serveurs reste propriétaire.

SimpleX Chat, lancée en 2021, supprime totalement la notion d’identifiant utilisateur : pas de numéro de téléphone, pas de pseudonyme public, pas de clé publique visible. Chaque utilisateur est identifié uniquement par des liens ou des QR codes éphémères. Cette architecture rend la corrélation entre utilisateurs quasiment impossible, ce qui garantit un haut niveau de confidentialité.

Techniquement, les messages sont chiffrés de bout en bout et transitent via des serveurs relais. Ces relais n’ont jamais connaissance de l’expéditeur, du destinataire, ni de leurs clés. Une fois le message transmis, il est immédiatement effacé du serveur. SimpleX adopte une architecture non fédérée et décentralisée : les serveurs ne partagent aucun répertoire global et chaque utilisateur peut installer son propre relais. Cela contraste avec des solutions comme Matrix, où des serveurs fédérés conservent des traces des échanges.

Le protocole est entièrement open source : les clients, les serveurs et les protocoles sont publiquement accessibles et audités. SimpleX est disponible sur Android, iOS, Linux, Windows et macOS, avec un stockage local chiffré et portable, ce qui permet de transférer un profil sans serveur central. Chaque utilisateur peut aussi gérer plusieurs profils isolés, chacun disposant de ses propres paramètres, pseudonyme et photo. Cette flexibilité permet de séparer clairement vie privée, professionnelle ou pseudonymat.

L’ajout de contacts se fait via des liens temporaires ou des adresses statiques (des identifiants permanents mais révocables). On peut aussi choisir entre l’échange éphémère ou un mode plus classique, avec des contrôles fins sur la visibilité et les autorisations (par exemple, masquer son nom réel derrière un pseudonyme aléatoire et unique pour chaque contact).

En termes de sécurité et confidentialité, SimpleX va plus loin que la plupart des messageries existantes, en limitant au maximum les métadonnées et en supprimant toute dépendance à un annuaire central ou à un identifiant unique. Cependant, cette architecture impose quelques compromis d’usage : ergonomie parfois moins intuitive, nécessité d’un léger apprentissage initial, et dépendance à la disponibilité des serveurs relais.

Session, lancée en 2020 par l’Oxen Privacy Tech Foundation, est une application de messagerie conçue pour offrir une confidentialité renforcée et une bonne résilience face à la surveillance. Session ne nécessite aucune information personnelle à l’inscription : pas de numéro de téléphone, pas d’e-mail, mais simplement une paire de clés cryptographiques générées localement. Cela permet une authentification anonyme.

Sur le plan technique, Session implémente un chiffrement de bout en bout pour les messages, fichiers, appels audio et vocaux, ainsi que pour les groupes (jusqu’à 100 membres). Le routage des messages s’effectue via un réseau décentralisé reposant sur des serveurs de nœuds dont la conception est inspirée de l’architecture en oignon de Tor. Ce mécanisme offre une protection avancée contre la surveillance réseau, y compris de la part des fournisseurs d’accès Internet ou des acteurs étatiques.

Le client et le serveur de Session sont open source. Le logiciel est disponible sur Android, iOS, Windows, macOS et Linux, avec une option de synchronisation entre appareils via la phrase mnémonique semblable à celle utilisée dans les portefeuilles Bitcoin. Cette phrase donne un contrôle exclusif à l’utilisateur sur ses données, mais impose aussi une responsabilité importante en matière de sauvegarde.

Keet, lancée en 2022 par Holepunch (une société soutenue par Tether et Bitfinex), se démarque par une approche radicalement décentralisée : toutes les communications (messages, appels audio et vidéo, transferts de fichiers...) se font directement entre les utilisateurs, sans passer par aucun serveur central. Cette architecture P2P élimine les intermédiaires et renforce considérablement la confidentialité et la résilience du système.

Keet chiffre toutes les communications de bout en bout. L’inscription est totalement anonyme : aucun numéro de téléphone, e-mail ou identifiant n’est requis. Cela permet de conserver une confidentialité renforcée dès l’activation du service. Les appels vidéo sont de très haute qualité, et les transferts de fichiers sont sans limite de taille, ce qui le rend adapté à des usages professionnels et personnels.

En revanche, bien que certains composants (cryptographie et réseau) soient publiés en open source sur GitHub, l’interface cliente de Keet n’était pas entièrement ouverte au moment de la rédaction de SCU 202 (mai 2025). Holepunch a toutefois annoncé son intention de publier l’ensemble du code dans le futur.

Keet est disponible sur Android, iOS, Windows, macOS et Linux, avec une synchronisation possible entre appareils grâce à une phrase mnémonique.

Olvid, lancée en 2019, est une messagerie chiffrée française. Son point fort : une inscription sans aucune donnée personnelle. L’identification repose sur un échange direct de clés cryptographiques entre les utilisateurs.

Techniquement, les messages sur Olvid sont chiffrés de bout en bout, grâce à un protocole propriétaire conçu spécifiquement pour protéger non seulement le contenu des messages, mais aussi les métadonnées : personne, y compris le serveur central, ne peut savoir qui communique avec qui, ni quand. Ce modèle réduit significativement les risques d’espionnage et de surveillance.

Cependant, l’infrastructure serveur reste propriétaire et centralisée, hébergée sur AWS (Amazon Web Services). Le code du client est open source depuis quelques années, mais le code du serveur n’est pas publié, ce qui limite la transparence technique du système.

Le modèle de sécurité d’Olvid repose sur un principe important : l’absence totale de tiers de confiance dans l’établissement des identités numériques. Contrairement à la majorité des messageries chiffrées qui s’appuient sur un annuaire centralisé pour gérer les identités des utilisateurs, Olvid ne dépend d’aucune infrastructure centralisée pour garantir l’intégrité des communications. Cette architecture élimine ainsi les risques liés à une compromission de l’annuaire.

Olvid utilise néanmoins un serveur central de distribution des messages, mais celui-ci est strictement cantonné à un rôle logistique : il assure la transmission asynchrone des messages chiffrés. Ce serveur ne participe à aucune étape du chiffrement, ne connaît ni l’identité réelle des utilisateurs ni le contenu ou les métadonnées des messages (à l’exception de la clé publique du destinataire, nécessaire au routage). Il peut donc être considéré comme hostile par défaut sans remettre en cause la sécurité de l’ensemble. Même s’il était compromis, il ne permettrait aucun accès au contenu des communications. Olvid assume donc une centralisation de la distribution des messages (pour des raisons d’efficacité et de qualité de service) tout en garantissant une sécurité indépendante de cette infrastructure.

Olvid propose deux versions :

L’application est certifiée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Olvid est compatible avec Android, iOS, Windows, macOS et Linux. Son ergonomie reste simple et accessible. L’application met également à disposition un système de sauvegarde chiffrée des clés et des contacts pour restaurer un compte sur un nouvel appareil.

Certaines applications de messagerie très populaires, comme WhatsApp, WeChat, Facebook Messenger, Instagram Direct, Snapchat ou encore LINE, sont largement utilisées au quotidien. Pourtant, d’un point de vue technique, ces plateformes ne respectent pas les standards de sécurité modernes adapté à des communications privées.

De façon générale, les deux critères fondamentaux à considérer lors du choix d’une messagerie sont les suivants : assure-t-elle un chiffrement de bout en bout, et son code est-il open source ? Viennent ensuite d’autres fonctionnalités qui peuvent être intéressantes, comme l’inscription anonyme ou l’utilisation d’une architecture réseau décentralisée, mais ces deux premiers éléments sont la base. Le chiffrement garantit la confidentialité de vos échanges, tandis que l’ouverture du code source permet de vérifier que ce chiffrement est bien implémenté de manière sécurisée.

Utiliser des services qui ne respectent pas ces deux prérequis revient à déléguer entièrement la protection de vos échanges à des acteurs commerciaux dont les intérêts économiques reposent souvent sur leur exploitation.

Voici un tableau récapitulatif des principales applications de messagerie existantes et de leurs caractéristiques, tel qu’il est établi au moment où j’écris cette formation (mai 2025) :

La sécurité de vos communications électroniques dépend avant tout du choix d’une application adaptée et de l’adoption de bonnes pratiques. Comprendre les mécanismes de sécurité sous-jacents, identifier les failles des solutions classiques et choisir des alternatives fiables constituent les bases essentielles pour communiquer sans vous faire écouter.

Pour l’instant, nous avons donc exploré comment sécuriser votre smartphone et comment sélectionner une application de messagerie fiable. Dans le chapitre suivant, je vous propose d’élargir cette étude à l’ensemble des grandes familles d’applications mobiles, afin de trouver des alternatives respectueuses de votre vie privée pour remplacer vos applications favorites. Qu’il s’agisse des emails, du stockage de fichiers, de la cartographie, des vidéos ou encore du streaming musical, quelles sont les applications open source qui s’offrent à vous ?