Signal, WhatsApp ou Telegram : quelle messagerie protège réellement vos sources ?

Journalistes, ONG et défenseurs des droits humains : la sécurité d’une conversation ne dépend pas uniquement du chiffrement

En Afrique comme ailleurs, les journalistes d’investigation, les défenseurs des droits humains et les organisations de la société civile évoluent dans un environnement numérique de plus en plus complexe. Entre les coupures d’Internet, la surveillance des communications, les saisies de téléphones aux check-points, les infiltrations de groupes de discussion et l’exploitation des métadonnées, choisir une messagerie sécurisée est devenu un enjeu opérationnel majeur. Pourtant, une idée reçue persiste : si une application affiche “chiffrement de bout en bout”, alors elle est forcément sécurisée. La réalité est beaucoup plus nuancée.

Quand la géopolitique influence le choix des messageries

L’histoire récente du continent africain montre à quel point les outils de communication peuvent devenir stratégiques. Lors des coupures d’Internet en République Démocratique du Congo en 2018 et 2019, de nombreux utilisateurs ont continué à accéder partiellement à certaines plateformes grâce à des VPN. Au Cameroun, les régions anglophones ont subi plusieurs jours de coupures Internet entre 2017 et 2018 selon les campagnes KeepItOn d’Access Now.

Au Nigeria, après la suspension de Twitter entre juin 2021 et janvier 2022, une partie importante des journalistes, blogueurs et médias s’est tournée vers WhatsApp, Telegram et Signal pour continuer à publier et à échanger des informations sensibles.

Ces événements rappellent une réalité essentielle : La disponibilité d’une plateforme est importante, mais sa sécurité l’est tout autant.

Signal : la référence en matière de protection des communications

Lorsqu’un journaliste échange avec une source sensible sur des violations des droits humains, des faits de corruption ou des exactions, Signal reste aujourd’hui la référence. Pourquoi ?

Parce que le chiffrement de bout en bout est activé par défaut sur :

les messages ;
les appels audio ;
les appels vidéo ;
les groupes.

L’utilisateur n’a aucun réglage particulier à effectuer. De plus, Signal collecte très peu de métadonnées comparativement aux autres plateformes. Cette approche est particulièrement importante dans les contextes où les services de renseignement, les autorités ou d’autres acteurs cherchent à identifier non seulement le contenu des échanges, mais également :

qui parle avec qui ;
à quelle fréquence ;
depuis quelle localisation ;
à quel moment.

WhatsApp : un chiffrement solide mais des limites importantes

WhatsApp utilise également le protocole Signal pour protéger le contenu des conversations. Sur le papier, cette protection est robuste. Cependant, plusieurs éléments sont souvent sous-estimés :

Les métadonnées
Même lorsque le contenu est chiffré, certaines informations restent exploitables :

identité des correspondants ;
fréquence des échanges ;
groupes fréquentés ;
informations de compte.

Les sauvegardes cloud
Pendant longtemps, les sauvegardes réalisées sur Google Drive ou iCloud n’étaient pas protégées par le même niveau de chiffrement que les conversations. De nombreux utilisateurs continuent aujourd’hui à conserver des sauvegardes accessibles dans le cloud sans avoir activé les options de protection renforcée.

Conséquence :
Un compte Google ou Apple compromis peut parfois donner accès à plusieurs mois, voire plusieurs années de conversations. Pour un journaliste ou une ONG, cette exposition représente souvent un risque plus important que l’application elle-même.

Telegram : populaire mais souvent mal compris

Telegram est devenu extrêmement populaire auprès des médias, militants et communautés professionnelles. Cependant, une confusion majeure persiste : Les groupes Telegram ne sont pas chiffrés de bout en bout. Contrairement à ce que beaucoup imaginent :

les groupes publics ne sont pas E2E ;
les groupes privés ne sont pas E2E ;
les chaînes Telegram ne sont pas E2E.

Seuls les « Secret Chats » bénéficient d’un chiffrement de bout en bout, et uniquement dans les conversations individuelles. Autrement dit, lorsqu’un groupe Telegram rassemble plusieurs centaines de membres, les messages peuvent être accessibles :

aux membres du groupe ;
aux administrateurs ;
à Telegram ;
à toute personne disposant d’un lien public d’invitation.

Pour les échanges sensibles, cette distinction est fondamentale.

Les messages éphémères ne font pas disparaître l’information
De nombreux utilisateurs pensent qu’un message disparaissant automatiquement après quelques minutes garantit sa confidentialité. Ce n’est pas toujours le cas. Prenons un exemple simple. Une source envoie un message Signal configuré pour disparaître après cinq minutes. Le destinataire effectue une capture d’écran. Le message disparaît effectivement de Signal. Mais la capture d’écran reste présente :

dans la galerie du téléphone ;
dans les sauvegardes automatiques ;
dans Google Photos ;
dans iCloud Photos ;
sur d’autres services de synchronisation.

Le contenu est donc conservé en dehors de l’environnement sécurisé de la messagerie. Les messages éphémères réduisent certains risques, mais ils ne remplacent jamais une bonne hygiène numérique.

Que faire lors d’un contrôle ou d’un check-point ?

Dans plusieurs pays, journalistes et militants peuvent être confrontés à des demandes de déverrouillage de leurs téléphones lors de contrôles. Dans ce contexte, une stratégie de protection efficace peut inclure :

Un verrouillage spécifique de l’application
L’accès à la messagerie nécessite un code distinct du déverrouillage du téléphone.

Des messages éphémères agressifs
Les conversations sensibles sont automatiquement supprimées après une courte période.

Une séparation des usages
Les communications critiques sont isolées sur un appareil dédié.

Un téléphone de terrain
Certains reporters utilisent un appareil spécifique pour les missions sensibles afin de limiter l’exposition de leurs données personnelles et professionnelles.

La véritable menace : les métadonnées
Le grand public se concentre généralement sur le contenu des messages. Les professionnels de la cybersécurité savent que les métadonnées sont souvent tout aussi précieuses.
Elles permettent de reconstituer :

les réseaux relationnels ;
les habitudes de communication ;
les déplacements ;
les périodes d’activité ;
les liens entre journalistes, sources et organisations.

Dans certains contextes, connaître l’identité d’une source peut être plus sensible que connaître le contenu d’une conversation.

Les bonnes pratiques à retenir

Pour protéger efficacement ses communications :
✓ Utiliser Signal pour les échanges sensibles.
✓ Désactiver ou chiffrer les sauvegardes cloud.
✓ Comprendre que Telegram n’offre pas de chiffrement E2E dans les groupes.
✓ Vérifier régulièrement les paramètres de confidentialité.
✓ Utiliser les messages éphémères avec discernement.
✓ Séparer les usages personnels et professionnels.
✓ Former les équipes aux risques liés aux métadonnées.
✓ Prévoir des procédures adaptées aux situations de contrôle physique ou de saisie d’appareils.

Conclusion

La question n’est plus simplement : « Quelle application utilise le meilleur chiffrement ? » La véritable question est : « Quelle application protège le mieux mes communications, mes métadonnées, mes sources et mon organisation dans le contexte réel où j’opère ? » Pour les journalistes, ONG, activistes et défenseurs des droits humains, la sécurité numérique ne repose pas uniquement sur la technologie. Elle repose sur une combinaison de bons outils, de bonnes pratiques opérationnelles et d’une compréhension claire des menaces. Dans cet environnement, Signal s’impose aujourd’hui comme la référence pour les communications sensibles, tandis que WhatsApp et Telegram nécessitent une vigilance accrue quant aux sauvegardes, aux métadonnées et aux paramètres de confidentialité.

Florent Youzan
SecureVoices.ORG
Labs, Simulations, Serious Games

Références

Access Now (#KeepItOn) a documenté la coupure de 94 jours imposée dans les régions anglophones en 2017 : https://www.accessnow.org/press-release/victory-cameroon-94-days-internet-back/
Internet Sans Frontières a également documenté les impacts économiques et sociaux de cette coupure : https://internetwithoutborders.org/internet-shutdown-in-cameroon-is-expensive/
Des analyses complémentaires ont été publiées par CIPESA et ACCORD : https://cipesa.org/2018/03/litigating-against-internet-shutdowns-in-cameroon/
Le gouvernement nigérian a suspendu Twitter en juin 2021 : https://www.theguardian.com/world/2021/jun/04/nigeria-suspends-twitter-after-presidents-tweet-was-deleted
Reporters Sans Frontières (RSF) a dénoncé les conséquences de cette mesure pour la liberté de la presse : https://rsf.org/en/twitter-blocked-journalism-threatened-nigeria
Le Committee to Protect Journalists (CPJ) a documenté les menaces pesant sur les journalistes utilisant encore la plateforme : https://cpj.org/2021/07/two-nigerian-journalists-respond-to-the-governments-ongoing-twitter-ban/

Signal, WhatsApp ou Telegram : quelle messagerie protège réellement vos sources ?

Quand la géopolitique influence le choix des messageries

Signal : la référence en matière de protection des communications

WhatsApp : un chiffrement solide mais des limites importantes

Telegram : populaire mais souvent mal compris

Que faire lors d’un contrôle ou d’un check-point ?

Les bonnes pratiques à retenir

Identifier facilement vos leviers opérationnels pour votre index open innovation

Comment identifier les dimensions principales de votre Index Open Innovation

Des outils libres pour concevoir des applications SMS frugales !

Micro-Blogging : Comment sauvegarder vos 3000 derniers tweets en ligne de commande

Mise en place d’une solution de gestion de parc informatique (2/2)

L’apport stratégique de l’excubation dans une démarche d’Open Innovation

L’innovation ouverte internationale : un levier stratégique pour renforcer l’impact des PME

Resilience Innovative Facility (RIF), un dispositif méconnu de l’Open Innovation

Identifier facilement vos leviers opérationnels pour votre index open innovation