Signal a longtemps été considéré comme la référence en matière de communication sécurisée et privée. Sa promesse principale repose sur le chiffrement de bout en bout, qui garantit que seuls l’expéditeur et le destinataire peuvent lire un message, et sur des fonctionnalités de « messages disparus » qui garantissent qu’il ne reste aucune trace numérique.
Cependant, un récent rapport de 404 Media a révélé une vulnérabilité importante : le FBI était capable de lire les messages Signal d’un suspect même après que l’utilisateur avait supprimé l’application de son appareil.
La vulnérabilité : une porte latérale via les notifications
La violation n’impliquait pas de « casser » le cryptage de Signal. Au lieu de cela, les enquêteurs ont exploité un effet secondaire technique lié à la manière dont les smartphones gèrent les alertes.
Lorsque vous recevez un message, votre téléphone utilise des notifications push pour vous alerter. Pour rendre ces notifications utiles, le système d’exploitation stocke souvent un aperçu du contenu du message afin qu’il puisse être affiché sur votre écran de verrouillage. Dans ce cas précis, le FBI a pu extraire ces messages de la base de données de notifications push de l’iPhone.
Cela révèle une réalité critique de la sécurité mobile : le cryptage protège uniquement les données lorsqu’elles sont en transit ou stockées dans l’application elle-même. Si le système d’exploitation du téléphone crée un aperçu en texte brut de ce message pour vous montrer une notification, cet aperçu devient une donnée distincte et non cryptée stockée dans les fichiers système de votre téléphone.
Pourquoi c’est important pour la confidentialité
Ce n’est pas seulement un problème de signal ; il s’agit d’un problème systémique affectant presque toutes les applications de messagerie utilisant des notifications push. Même si une application est mathématiquement « inpiratable », la façon dont elle interagit avec le système d’exploitation du smartphone (iOS ou Android) peut créer des « fuites ».
Pour les utilisateurs soucieux de leur confidentialité, cela signifie que la fonctionnalité même conçue pour plus de commodité (la possibilité de lire un extrait de texte sans déverrouiller votre téléphone) est la même fonctionnalité qui peut être utilisée pour contourner la sécurité de haut niveau.
Comment sécuriser vos messages de signal
La bonne nouvelle est que cette faille est facilement corrigible grâce à un simple ajustement des paramètres. Pour empêcher le contenu de votre message d’être stocké dans la base de données de notifications du téléphone, procédez comme suit :
- Ouvrez l’application Signal.
- Appuyez sur votre photo de profil dans le coin supérieur gauche pour accéder aux Paramètres.
- Sélectionnez la section Notifications.
- Appuyez sur Contenu de la notification.
- Sélectionnez “Aucun nom ni contenu.”
En activant ce paramètre, vous recevrez toujours des alertes lorsque vous aurez un nouveau message, mais la notification n’affichera pas qui l’a envoyé ni ce qu’il a dit. Pour lire le message, vous devrez ouvrir manuellement l’application. Ce petit changement garantit que même si un appareil est saisi, le contenu sensible reste verrouillé derrière le cryptage de Signal plutôt que de rester dans un journal de notification.
Conclusion
Même si le chiffrement de bout en bout offre une protection robuste aux données en transit, la manière dont les systèmes d’exploitation mobiles gèrent les notifications crée une faille importante. Ajuster vos paramètres de notification pour masquer le contenu est une étape essentielle pour garantir que vos conversations « privées » restent vraiment privées.
