En janvier, les utilisateur·ices de WhatsApp ont reçu une notification les informant de l’imminent changement des conditions générales d’utilisation de cette application. Cette notification annonçait qu’à partir du 8 février, il serait obligatoire d’accepter que nos données soient collectées et partagées avec les autres entités de la firme Facebook (Facebook, Messenger, Instagram, …) pour continuer à utiliser le service WhatsApp. C’est pourquoi le groupe InformÉthique a fait le point sur les services de messagerie alternatifs.

Il s’agit là d’une démarche de capitalisation des données de la part de Facebook afin de monétiser WhatsApp, et ce en vendant ces données à d’autres entreprises afin qu’elles puissent contacter leurs clients via l’application, voire y vendre directement leurs produits [1]. En effet, WhatsApp a été racheté par Facebook en 2014, évènement marquant le début de la dégringolade pour ce service de messagerie instantanée chiffrée de bout en bout et ses promesses de sécurité et de confidentialité [2].

En 2016, WhatsApp annonçait qu’elle allait partager avec Facebook le numéro de téléphone de ses utilisateur·ices et d’autres métadonnées d’apparence sans importance (le type d’appareil utilisé, par exemple), ce que les utilisateur·ices avaient encore le droit de refuser [3]. Cependant, en 2017, la Commission nationale de l’informatique et des libertés en France met WhatsApp en demeure car elle a modifié sa politique de confidentialité afin de pouvoir partager avec Facebook les données des utilisateur·ices citées plus tôt (numéro de téléphone, habitudes d’utilisation, type d’appareil utilisé, etc.), mais sans leur consentement. WhatsApp est également connue pour d’autres controverses, comme par exemple quand elle a été infectée par un logiciel espion israélien en 2019, et qu’elle a accueilli malgré elle des campagnes diffamatoires et meurtrières [4].

Aujourd’hui encore, Facebook en a après nos métadonnées, c’est-à-dire les données concernant nos données : à quelle fréquence nous nous connectons à WhatsApp, qui nous connaissons, mais aussi avec qui, où et quand nous discutons. Concrètement, voici les informations qui seront récoltées : l‘adresse IP, les informations d’enregistrement du compte, le numéro de téléphone de l’utilisateur·ice, celui de tous ses contacts, le nom et la photo de profil utilisée, les messages publiés en « statuts », et enfin comment l’utilisateur·ice va interagir d’un service de Facebook à l’autre (Facebook, Messenger, Instagram, WhatsApp). En résumé, seuls les messages et leur contenu resteront chiffrés et donc illisibles [5].

En Europe en revanche, la situation sera un peu différente car nous sommes protégé·e·s par le Règlement Général de Protection des Données (RGPD). Ce partage de données ne concernera donc que les comptes professionnels. Cependant, le RGPD ne nous protège pas complètement puisque un tel changement de conditions d’utilisation est possible sans consultation préalable des utilisateur·ices. De plus, Facebook et ses services sont autorisés à ne pas délivrer un service à quiconque n’accepte pas ces conditions. Toutefois, les autorités de protection des données des pays européens ont la capacité de contester cette base légale afin que la collecte de données nécessite le recueil d’un consentement éclairé [6].

Cette polémique a donc le mérite de remettre la confidentialité des données au centre du débat public, ce qui a poussé la société à retarder de trois mois le changement de ses conditions d’utilisation. En effet, bien que la nouvelle politique de confidentialité de WhatsApp au niveau européen ne soit pas aussi « inquiétante » qu’ailleurs, de nombreux‧ses utilisateur·ices s’alarment de l’abandon d’une des valeurs fondatrices de l’application ; la protection des données [7].

En réalité, WhatsApp est considérée comme l’une des plus sécurisées parmi les applications connues de messagerie instantanée puisqu’elle propose un chiffrement de bout en bout des messages. À l’inverse, Messenger, Instagram, Snapchat ou encore Viber ne proposent pas un tel chiffrement, et peuvent donc avoir accès au contenu de nos messages. Comme nous l’avons expliqué plus tôt, les métadonnées sont également précieusement collectées, et ce par toutes les applications citées jusqu’ici, tout particulièrement dans l’écosystème d’Android [8]. C’est pourquoi énormément d’utilisateur·ices se tournent désormais vers d’autres messageries plus respectueuses de leur vie privée. Dans le but de vous aider à naviguer parmi ces alternatives, le groupe InformÉthique vous a préparé une comparaison de celles-ci avec les applications connues.

Quelques points d’attention

  • Comme vous pouvez le voir dans le tableau ci-dessus, malgré sa réputation d’application sécurisée, Telegram n’est pas chiffrée et la société a donc accès à vos messages, sauf si vous discutez en « secret chat », ce qui exclut les discussions en groupe. De plus, les données des utilisateur·ices sont centralisées dans les serveurs de Telegram, et seront bientôt monétisées avec de la publicité [9].
  • Depuis la chute en disgrâce de WhatsApp, de nombreux‧ses utilisateur·ices optent pour Signal, considérée par les spécialistes comme l’une des applications les plus sécurisées du marché, et recommandée par Edward Snowden et la Commission européenne, qui l’utilise pour la communication avec les personnes extérieures à l’institution. Signal offre les mêmes fonctionnalités que WhatsApp (interface claire, chiffrement des messages) puisque cette dernière a utilisé le code open source de Signal afin de s’améliorer. Sauf que chez Signal, même les appels vocaux et vidéo sont chiffrés de bout en bout, il est possible d’enclencher la destruction automatique des échanges, et les données sont stockées non pas sur un serveur centralisé mais bien sur nos téléphones. L’unique donnée collectée par cette application est le numéro de téléphone de l’utilisateur·ice, nécessaire pour créer un compte. La principale faiblesse de Signal est que, puisqu’il faut un numéro de téléphone pour créer un compte, il faut posséder un smartphone même si l’on souhaite installer Signal sur son PC [10]. Si vous souhaitez installer Signal, suivez le guide.
  • Pour celleux qui veulent simplement un service de SMS pour Android, sans connexion internet et sans appels, il existe également des alternatives libres, open source et chiffrées, comme Silence et BRIAR. Ces applications diffèrent sur deux aspects : tandis que Silence nécessite un numéro de téléphone pour s’inscrire, BRIARne nécessite aucune information d’inscription, et l’on peut se mettre en relation avec nos destinataires via un code unique. En revanche, BRIAR ne permet que l’échange de chat, tandis que Silence permet d’envoyer des MMS.
  • Pour les plus zélé‧e‧s, il existe également les clients du protocole Matrix, comme Element. Matrix est un protocole dont les serveurs sont fédérés, il est donc possible de communiquer même si on n’est pas sur le même serveur que son interlocuteur. Il s’agit également d’un protocole ouvert avec de multiples clients libres, notamment Element‧io, client Matrix de référence. Element a le terrible avantage d’être open source, chiffré, de permettre de détruire nos messages, de ne nécessiter aucune information d’inscription, et surtout de ne pas exclure les personnes qui ne possèdent pas de smartphones. Element permet également d’envoyer des photos, vidéos, documents, et vocaux.Si vous souhaitez installer Element, suivez le guide.
  • Et enfin, il existe le protocole libre et décentralisé Jabber, qui permet à ses utilisateur·ices de discuter depuis des serveurs ou des services de messagerie instantanée différents, tout en maintenant la confidentialité de leurs données [11]. Le plus simple pour utiliser Jabber est d’installer le logiciel de messagerie Gajim et de s’y créer un compte sur le serveur im.apinc.org (Association de Promotion d’un Internet Non Commercial) ou un autre de la liste, par exemple im.toile-libre.org. Cette procédure ne demande aucune information personnelle, aucune adresse mail n’est à fournir. Plus d’infos ici.