Facebook Messenger est partout. Tout le monde que je connais, à part ma mère, utilise le service de Facebook quotidiennement, des dizaines de fois chaque jour. Même moi, quand j’ai désactivé mon compte Facebook, j’ai pris la peine de trouver le moyen de conserver mon compte Messenger pour garder contact avec mes amis et mes proches. Une image m’a toutefois fait sursauter, et j’ai pris une autre grande décision : utiliser Messenger le moins possible.
Facebook vit de nos données
J’écrivais en octobre 2020 que Facebook et Google n’ont qu’un seul objectif : nous rendre accro à leurs services pour pouvoir récolter le plus de données possible sur nous :
Ces géants du web utilisent les failles humaines pour nous exploiter, nous pousser de la publicité et nous inciter à consommer toujours plus, tout en nous rendant terriblement accros à leurs services. En un rien de temps, on est pris au piège et on ne sait plus comment en sortir.
L’entreprise mine principalement nos données depuis son produit principal, le News Feed, mais aussi depuis toutes ses autres propriétés qui incluent Messenger, Instagram, WhatsApp et Oculus. L’objectif est simple : connaître vos habitudes dans les moindres détails et être capable de prédire vos besoins futurs pour vous montrer de la publicité ciblée.
Source : about.fb.com
Messenger n’est donc qu’un autre outil que l’entreprise possède qui lui permet de récolter de l’information sur ses utilisateurs. Facebook a d’ailleurs affirmé que des robots analysent tous les messages envoyés via son service pour empêcher le partage d’éléments qui ne lui plaisent pas.
La sécurité inexistante
Pour que Facebook puisse lire nos messages, ils ne doivent pas être sécurisés. S’ils l’étaient vraiment, ni l’entreprise, ni personne d’autre, ne pourrait avoir accès au contenu de ce qui est envoyé. Messenger ne chiffre en effet aucun message par défaut. Il faut absolument activer les chats secrets pour bénéficier d’un chiffrement de bout en bout.
Qu’est-ce que le chiffrement de bout en bout?
La cryptographie asymétrique est la technique la plus efficace pour protéger des données partagées sur le web. En gros, chaque utilisateur possède deux clés, une publique et une privée, qui sont une série de chiffres et de lettres. Elles permettent de coder et décoder du chiffrement. Prenons l’exemple d’Alex et Ben qui s’échangent des messages.
- Alex envoie un message à Ben.
- Le message d’Alex est chiffré avec la clé publique de Ben, il est transformé en charabia incompréhensible;
- Ben possède une clé privée, la seule capable de déverrouiller ce qui est généré par sa clé publique;
- Ben reçoit le message d’Alex, sa clé peut le déverrouiller et ainsi l’afficher en texte lisible;
- Lorsque Ben répond, l’opération inverse est effectuée grâce à la clé publique d’Alex.
J’ai simplifié au maximum, évidemment. Ce qu’on doit retenir, c’est que le chiffrement asymétrique est pratiquement inviolable lorsqu’il utilise les techniques de pointe. Les applications de messagerie les plus sécuritaires utilisent cette technique pour protéger leurs utilisateurs.
Mais Messenger ne l’utilise pas par défaut, ce qui laisse presque tous les messages, de tout le monde, accessibles à quiconque se place entre l’expéditeur et le destinataire. Autant dire que vous ne devriez absolument pas considérer ce que vous envoyez via Messenger comme étant privé.
« Mais je n’ai rien à cacher! »
C’est faux. Vous avez tout intérêt à garder le plus d’éléments possible secrets et privés. Si le scandale de la fuite massive de données chez Desjardins nous a bien appris quelque chose, c’est que nos données valent cher et qu’elles sont extrêmement précieuses. Elles méritent d’être protégées au maximum. D’ailleurs…
- Avez-vous 100 % confiance en votre gouvernement et ceux qui y travaillent?
- Craignez-vous le vol d’identité?
- Pensez-vous que quelqu’un pourrait vouloir accéder à vos conversations afin de vous faire chanter, comme un client mécontent, un étudiant en beau fusil, un parent crack-pot, un collègue jaloux ou un voisin suspect?
Si vous répondez oui à une seule de ces questions, vous devriez prendre tous les moyens imaginables pour protéger vos informations.
Divulgâcheur : vous devriez répondre oui à ces questions, pour exactement les mêmes raisons que vous verrouillez la porte de votre domicile, que vous avez un NIP sur votre carte débit et votre cellulaire, que votre compte Gmail est protégé par un mot de passe et que vous fermez les rideaux le soir.
Vous pensez que j’exagère? Reculons jusqu’en juillet 2020. Twitter a confirmé il y a quelque temps que des pirates ont eu accès aux messages privés de 36 personnes, dont ceux d’un élu néerlandais. Les pirates ont utilisé des techniques d’ingénierie sociale pour arriver à leurs fins. Ces personnes n’étaient pas tous des vedettes ou des personnalités publiques! Personne n’est à l’abri des malfaiteurs.
Il existe des solutions
Le constat est alarmant, j’en conviens, mais il existe des solutions. Protégez l’accès à vos comptes et utilisez des services qui protègent par défaut vos informations.
Protégez l’accès à vos comptes
Premièrement, utilisez un gestionnaire de mots de passe et créez un mot de passe unique pour chaque service que vous utilisez. Votre iPhone et votre Mac sont d’ailleurs muni une fonction de ce type qui crée en plus des mots de passe robustes. À défaut d’utiliser 1Password ou LastPass, utilisez le trousseau iCloud.
Pensez aussi à activer l’authentification à deux facteurs. Cette fonction permet de confirmer que c’est bel et bien vous qui demandez l’accès, et non quelqu’un qui a trouvé votre mot de passe. Cet article de The Verge explique comment l’activer pour les services populaires.
Utilisez des services sécuritaires
Il existe des milliers de services sur le web qui proposent de la sécurité renforcée pour toute sorte d’utilités. Concentrons-nous sur les applications et les services de discussion instantanée, pour remplacer Messenger.
iMessage
Intégré à votre iPhone, Mac, iPad, Apple Watch et iPod touch, le service de messagerie d’Apple est chiffré de bout en bout et seulement vous et votre interlocuteur avez accès au contenu des conversations. Ni Apple, ni personne qui tente de se placer au milieu de la chaîne ne peut lire ce que vous dîtes dans un iMessage. Attention toutefois à ce que la bulle soit bleue! Comme l’application Messages de votre iPhone est aussi celle qui permet d’envoyer des SMS, vous risquez de passer par le très peu sécuritaire et mal foutu texto classique si votre interlocuteur ne peut recevoir votre message via le web. Il est possible de désactiver l’envoie automatique par SMS si le destinataire n’est pas connecté à internet.
iMessage permet de créer des chats de groupe, d’envoyer des images, des vidéos, des autocollants et toute sorte de contenu funky. Pourvu que tous ceux qui participent à la discussion utilisent un appareil Apple. Vous ne trouverez pas d’iMessages sur Android ou Windows.
Apple offre aussi les appels vidéos un à un ou en groupe via Facetime, qui est aussi chiffré de bout en bout.
Signal
Le service Signal a été lancé par Open Whisper Systems, une entreprise fondée en 2013 qui a créé un protocole de chiffrement ouvert, très robuste et constamment évalué par des experts. Le protocole Signal est même à la base du chiffrement de WhatsApp et des chats secrets de Messenger, sauf que contrairement à cette dernière, il est toujours actif. Signal est maintenu par un OBNL à laquelle vous pouvez donner pour participer à l’expansion et la maintenance du service.
Le service fonctionne sur iOS, macOS, Windows et Android. Tout ce dont vous avez besoin, c’est d’un numéro de téléphone. L’équipe se vante d’ailleurs de n’avoir accès à absolument aucune information sur ses utilisateurs, excepté ledit numéro de téléphone demandé. Elle ne conserve aucun logs de connexion, aucun message, aucune photo et rien de tout ça ne peut être transmis à qui que ce soit d’autre que les destinataires de vos messages. Ces informations n’existent simplement pas sur leurs serveurs.
L’app Signal permet de discuter en groupe, d’envoyer des GIF, des photos et des vidéos, sa position et permet aussi d’appeler ses amis, un à un ou en groupe, en vidéo sécurisée.
Je n’aime pas beaucoup WhatsApp parce que le service appartient à Facebook, une entreprise qui a une très mauvaise feuille de route pour tout ce qui touche le respect de la vie privée. Mais si vous utilisez WhatsApp, n’ayez craintes : vos conversations sont en sécurité. Tous les messages envoyés via le service sont chiffrés par le même protocole que Signal.
Vous avez peut-être entendu dire que WhatsApp allait prochainement avoir accès à une panoplie d’informations supplémentaires… mais rassurez-vous, cette nouvelle politique de WhatsApp a été victime de pas mal de désinformation. Vos échanges resteront privés et chiffrés. Ce qui change, c’est que Facebook veut recueillir plus d’informations sur tout le reste. Le réseau social veut faire de son service de messagerie une plateforme d’échange entre entreprises et clients, en plus de permettre à ces mêmes entreprises de vous vendre directement leurs produits. Facebook veut que WhatsApp fasse de l’argent. Et comment ce géant fait-il ses milliards? En collectant toutes les informations possibles sur vous, en les analysant, en les croisant et en poussant de la publicité ciblée.
Alors oui, les messages envoyés via WhatsApp sont bien protégés, mais tout le reste l’est pas mal moins. Gardez ça en tête.
Snapchat
On a tendance à l’oublier depuis quelque temps, mais Snapchat est assez sécuritaire et est très pratique pour échanger rapidement des photos. Selon l’entreprise, toutes les photos transmises via son service sont envoyées avec le fameux chiffrement de bout en bout. Par contre, sachez que la messagerie textuelle ne permet pas ces échanges protégés. Alors, pour vos photos de pêches 🍑 et d’aubergine 🍆, c’est bien. Mais pour les commentaires que vous laissez, c’est plus dangereux.
Telegram : la fausse bonne idée
J’étais jadis un partisan de Telegram. L’application est jolie, rapide et bourrée de fonctions sympathiques. Sauf qu’elle a un grand problème qui joue contre elle : sa sécurité approximative. En effet, j’ai appris que les messages échangés sur Telegram ne sont pas chiffrés de bout en bout. Ils sont chiffrés, oui, mais de sorte que les employés puissent y accéder. Il faut, comme Messenger, activer les chats secrets pour bénéficier du chiffrement le plus robuste et empêcher l’entreprise d’accéder à nos messages. Il est d’ailleurs impossible d’activer les chats secrets pour les conversations de groupe, les laissant accessibles à tous ceux qui connaissent les clés de chiffrement.
Alors, même si les apps du service sont bien foutues, que les messages sont synchronisés entre vos appareils et que ses fonctions sont utiles, je ne conseille plus Telegram.
Conclusion
Il est impératif de bien comprendre les conséquences possibles que peuvent avoir l’utilisation de services peu ou pas sécuritaires. Sachez que s’il n’utilise pas les technologies de chiffrement complet de vos échanges, ils sont en théorie accessibles à tous ceux qui le veulent. Et comme on a vu que Facebook se permet de lire nos messages, que l’entreprise a une feuille de route désastreuse pour la protection des données de ses utilisateurs et une utilisation douteuse de celles-ci, je ne peux que déconseiller l’utilisation de ses services.
Évidemment, c’est assez difficile de ne plus du tout ouvrir Messenger. L’application est si répandue qu’il est quasi impossible en 2021 au Canada ne s’en passer complètement. Gardez toutefois en tête qu’elle n’est pas sécuritaire, utilisez-la le moins souvent possible et transférez vos groupes préférés sur une app comme Signal ou un service comme iMessage (si tous vos contacts ont un iPhone), et vous pourrez presque dormir sur vos deux oreilles.
Restez informé sur le monde qui nous entoure et sur ses enjeux en écoutant chaque mardi Le Matinal de Ceci n’est pas un média!
Fondateur de GabGagnon.ca.
J’ai créé ce blog dans le but de partager ma passion pour les nouvelles technologies et informer sur l’actualité de l’industrie. N’hésite pas à poser des questions et à discuter avec moi sur Mastodon ou Facebook!