dans le viseur de la justice française. Ou plus exactement son patron franco-russe, . Ce dernier a été mercredi soir. La justice lui reproche de ne pas agir contre la diffusion de contenus criminels sur la messagerie, qui vante son chiffrement auprès des utilisateurs.

Toutefois, plusieurs observateurs et spécialistes de la cybersécurité soulignent que la messagerie ne protège peut-être pas aussi bien ses usagers qu’elle ne le prétend. Du moins, pas autant que certaines concurrentes.

Un chiffrement à activer

En effet, comme le pointe Gérôme Billois, expert en cybersécurité au cabinet Wavestone et auteur de Cyberattaques : les dessous d’une menace mondiale (Hachette), pour qu’une conversation entre deux personnes qui communiquent sur Telegram soit chiffrée de bout en bout, il faut cocher une fonctionnalité. « Quand le chiffrement de bout en bout n’est pas activé, les salariés de Telegram peuvent voir ces messages », résume-t-il.

Ce n’est pas une évidence pour tous, loin de là. Cette activation est, d’après Matthew Green, professeur agrégé d’informatique, expert en cryptographie et membre de l’Institut de sécurité de l’information de l’université Johns Hopkins, « étrangement difficile à réaliser pour les utilisateurs non experts », s’agace-t-il sur . Il précise que le bouton qui permet d’activer le chiffrement n’est disponible qu’après quatre clics différents. Mais surtout, précise-t-il encore, « les conversations secrètes ne fonctionnent que si votre interlocuteur est en ligne au moment où vous faites cela ».

Par ailleurs, dès que la conversation s’élargit à plusieurs personnes ou s’entretient au sein d’une chaîne, ouverte ou non, le chiffrement ne s’applique plus. « S’il s’agit de messages dans la sphère familiale, sur des sujets aussi anodins qu’un retard au rendez-vous chez le médecin, le risque est relatif, concède Gérôme Billois. Mais on peut vouloir échanger des choses plus sensibles sur sa santé, ses finances ».

Des messages accessibles aux serveurs de Telegram

Sur Telegram, quand un message est chiffré de bout en bout, « il part vers les serveurs ; l’application identifie l’expéditeur et le destinataire et renvoie vers le téléphone du destinataire », et ce sans voir le contenu, développe Gérôme Billois.

Pour son chiffrement, Telegram a choisi « une solution qu’ils ont créée eux-mêmes et sur laquelle on n’a pas eu toutes les garanties de transparence et de tests indépendants sur la qualité du chiffrement », nuance le spécialiste en . « On est obligés de leur faire confiance alors qu’on ne sait pas exactement ce qu’ils stockent ou pas, ce qu’ils analysent ou pas, ajoute-t-il. Il y a une espèce de flou et de manque de transparence du côté de Telegram ».

Ce n’est pas le cas d’autres applications de messagerie instantanée comme , ou la création française . Ces dernières sont chiffrées de bout en bout sans que l’utilisateur n’ait besoin d’activer une fonctionnalité particulière. Et si elles peuvent aussi stocker les messages, elles ne voient en revanche jamais leur contenu. « Ils n’ont pas la clef pour déchiffrer, elle est sur les téléphones des usagers », explique encore Gérôme Billois.

Des informations cryptées mais précieuses

Même cryptés, les messages offrent aux applications des informations potentiellement précieuses sur leurs utilisateurs. WhatsApp, Signal ou Telegram ont accès à votre répertoire. Ainsi, ces applications « se basent sur les numéros de portables de personnes que vous connaissez et en ayant ces numéros, ils sont en capacité de savoir avec quel numéro, à quelle heure et combien de messages vous échangez », note Gérôme Billois. Des métadonnées qui sont une source d’information « précieuse, en témoignent les sommes énormes que les diffuseurs traditionnels dépensent pour les collecter », remarque également Matthew Green.

La seule messagerie qui ne collecte pas ces informations est Olvid, qui se présente comme la messagerie la plus sûre du monde. L ont dû s’y inscrire, plutôt que sur WhatsApp, Signal, Telegram ou . Son défaut est aussi sa force : il faut entrer ses contacts un par un. En fonction de l’épaisseur de votre répertoire, la démarche peut être fastidieuse, mais elle garantit son côté confidentiel.